Manual de politicas y procedimientos de datos personales

1. OBJETIVO

GIOTO SAS, identificada con el NIT 901.594.817-7 y con sede principal en Bogotá D.C., ubicada en Cl 72 A Bis No. 22 42 Of 201, con número de teléfono 6018052409 y correo electrónico gioto@gioto.com.co, informa a las personas cuyos datos personales son gestionados por la empresa sobre su Política de Protección y Tratamiento de Datos.

El propósito principal de este manual es establecer procedimientos para que los titulares de datos personales puedan ejercer sus derechos, incluyendo la presentación de consultas, quejas y reclamos. La política también detalla el alcance y la finalidad del tratamiento de datos personales, asegurando su regulación y supervisión adecuadas. Busca proteger la seguridad de la información de los individuos en cumplimiento del artículo 15 de la Constitución Nacional, que garantiza el derecho a conocer, actualizar y rectificar datos personales. Aunque no restringe totalmente el tratamiento de datos, exige que se realice de manera adecuada y regulada.

1. NORMATIVIDAD, ÁMBITO DE APLICACIÓN Y ALCANCE

La política de tratamiento de datos personales se formula en cumplimiento de los artículos 15 y 20 de la Constitución Política, y de conformidad con directrices establecidas en la Ley Estatutaria 1581 de 2012, que establece normas generales para la Protección de Datos Personales (o LPD), y el Decreto 1377 de 2013, que reglamenta este mandato. 

Esta Política se aplicará a todos los individuos considerados Titulares de Datos Personales, cuyos datos sean tratados por la empresa en cualquier contexto, incluyendo bases de datos, archivos y documentos que contengan datos personales de trabajadores, clientes, contratistas, proveedores, terceros, visitantes y cualquier persona relacionada con GIOTO S.A.S. como entidad responsable del tratamiento.

En este documento, se detallan los procedimientos y actividades relacionados con el tratamiento de datos personales, asegurando que se realicen conforme a las normas y directrices regulatorias.

Esta información puede obtenerse a través de diversos canales o medios, tales como:

i) relaciones comerciales, contractuales o profesionales con clientes, proveedores u otros terceros; ii) relaciones laborales con trabajadores y extrabajadores; iii) solicitudes en procesos de selección; iv) inscripciones a capacitaciones, concursos, seminarios, talleres o cursos; v) registros y accesos a la página web de la sociedad; y

1. envío de correos electrónicos solicitando información.

Cabe destacar que, al proporcionar cualquier tipo de información personal a GIOTO S.A.S., el titular de los datos personales acepta que dicha información será utilizada conforme a la presente política de tratamiento de datos personales.

1. DEFINICIONES

Para efectos del presente manual, se establecen las siguientes definiciones que se encuentran establecidas en el artículo 3 de la LPD y el artículo 3 del Decreto 1377 de 2013:

• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.

• Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de datos personales que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

• Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

• Causahabiente: Persona que por sucesión o sustitución adquiere los derechos de otra persona.
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

• Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.

• Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.

Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

• Dato semiprivado: Es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular

sino a cierto sector o grupo de personas o a la sociedad en general, como son: bases de datos que contengan Información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

• Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

• Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.

• Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

• Titular: Persona natural cuyos datos personales sean objeto de tratamiento. 

• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

• Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

• Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

1. PRINCIPIOS

Durante sus actividades comerciales, GIOTO SAS realizará la recolección, uso, almacenamiento, transmisión, transferencia y tratamiento de los Datos Personales de los Titulares, conforme a los propósitos definidos en esta Política. En cada instancia de tratamiento de datos personales, tanto los Responsables como los Encargados y los terceros que reciban estos datos deberán adherirse a los principios y normas establecidos por la Ley y esta Política. Esto se lleva a cabo para

proteger el derecho al habeas data de los Titulares y garantizar el cumplimiento de las obligaciones legales y las directrices internas de la empresa. Estos principios se fundamentan en:

• Autorización previa: Es el tratamiento de datos personales que se realiza una vez se haya obtenido la autorización previa, expresa, informada y facultativa del titular, a menos que exista una excepción legal. Si los datos personales fueron recolectados antes de la promulgación de la ley, las organizaciones buscarán métodos ordinarios y alternativos para obtener la autorización retroactivamente, siguiendo las disposiciones del Decreto 1377 de 2013 y otras normativas aplicables.

• Acceso y circulación restringida: Establece que el tratamiento de datos personales está sujeto a límites derivados de la naturaleza de los datos, así como de las disposiciones legales y constitucionales. En consecuencia, solo las personas autorizadas por el titular o previstas en la ley pueden llevar a cabo dicho tratamiento. Los datos personales, excepto la información pública, no deben estar disponibles en medios de divulgación masiva, a menos que el acceso sea técnicamente controlable y restringido a los titulares o terceros autorizados según la ley.

• Legalidad: Los datos personales sólo podrán ser tratados si el tratamiento se encuentra autorizado por la ley o por el consentimiento previo, expreso e informado del titular.
• Finalidad: El tratamiento de datos personales debe obedecer a finalidades específicas, explícitas y legítimas, y no podrán ser tratados con fines incompatibles con aquellos para los cuales fueron recolectados.

• Calidad: Los datos personales deben ser exactos, completos, adecuados y pertinentes para las finalidades para las cuales son tratados.

• Seguridad: Los datos personales deben ser tratados de manera que se garantice su seguridad y se evite su acceso, uso, modificación, divulgación o destrucción no autorizada.

• Confidencialidad: Los datos personales deben ser tratados con confidencialidad, reservando su acceso a las personas que lo requieran en virtud de las funciones que desempeñen.

• Veracidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Proporcionalidad: El tratamiento de los datos personales debe ser realizado de manera proporcional, garantizando que la forma en que se utilizan los datos sea coherente y razonable en relación con el propósito para el cual se obtuvieron.

1. AUTORIZACIÓN DE LA POLÍTICA DE TRATAMIENTO

Conforme al artículo 9 de la Ley 1581 de 2012, es necesario obtener la autorización previa e informada del Titular para el tratamiento de datos personales. Al aceptar esta política, cada Titular que proporcione información personal está dando su consentimiento para que GIOTO SAS trate sus datos según los términos y condiciones establecidos en la misma.

Además, GIOTO SAS se compromete a garantizar la confidencialidad, integridad y disponibilidad de los datos personales recopilados, implementando las medidas de seguridad necesarias para protegerlos contra accesos no autorizados, pérdida, alteración o divulgación indebida. Los Titulares tendrán derecho a conocer, actualizar, rectificar y solicitar la eliminación de sus datos personales, así como a revocar  la autorización  otorgada, de acuerdo con los  procedimientos  establecidos en esta política y en la legislación vigente.

La Autorización es una declaración que informa al Titular de los datos, al menos, la siguiente información:

El Responsable o Encargado de recopilar la información.

1. Los Datos Personales recopilados.

1. Las finalidades del Tratamiento.

1. El procedimiento para el ejercicio de los derechos de acceso, corrección, actualización o supresión de datos.

De acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012, la autorización del Titular no será necesaria cuando se trate de:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

1. Datos de naturaleza pública;

1. Casos de urgencia médica o sanitaria;

1. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

1. Datos relacionados con el Registro Civil de las Personas.

Si bien en esos casos no será necesario pedir la autorización, sí será obligatorio el cumplimiento de los demás deberes informados en la ley e indicados en este numeral.

1. RESPONSABLE DEL TRATAMIENTO

El responsable del tratamiento de las bases de datos objeto de esta política es GIOTO SAS, con NIT 901.594.817-7, cuyos datos de contacto son los siguientes:

• Dirección: Cl 72 A No. 22 42 Of 201
• Correo electrónico: gioto@gioto.com.co
• Teléfono: 6018052409

1. TRATAMIENTO Y FINALIDADES DE LAS BASES DE DATOS

GIOTO SAS, en el ejercicio de sus actividades empresariales, realiza el tratamiento de datos personales de individuos naturales contenidos en diversas bases de datos, con fines legítimos y de conformidad con la Constitución y la Ley, en especial, estarán sometidos a la recolección, intercambio, actualización, procesamiento, reproducción, compilación, almacenamiento, uso, sistematización y organización.

Igualmente, se podrá entregar, transmitir o transferir a entidades públicas, socios comerciales, contratistas, aliados, subsidiarias, filiales, terceros, si se cumple con los presupuestos y finalidades establecidas en la base de datos correspondiente, previa suscripción de todos los actos o negocios jurídicos relacionados así como la autorización y consentimiento del titular.

La información de trabajadores y extrabajadores, se maneja para gestionar todos los aspectos relacionados con su situación laboral, incluyendo nómina, parafiscales, prestaciones sociales y toda la información relativa a los contratos de trabajo.

En cuanto a los clientes, los datos se utilizan para propósitos comerciales, evaluación de comportamiento y crédito comercial, así como para la gestión contable, fiscal y administrativa.

Los datos de proveedores se administran para fines comerciales, contables, fiscales y administrativos, entre otros.

Los datos de los administradores y asociados se gestionan con su actividad de dirección y relación contractual con la compañía, así como en relación con su participación y actividades dentro de la empresa.

Los Datos Personales serán tratados por la Sociedad, así como los Encargados y personas que tengan acceso autorizado de los mismos, de acuerdo con las finalidades previstas en este manual:

• Llevar a cabo las acciones necesarias para cumplir con las relaciones comerciales y contractuales con sus clientes, proveedores, trabajadores y extrabajadores, lo que incluye el pago de obligaciones contractuales y el ejercicio de los derechos correspondientes.

• Obtener, compartir y divulgar información sobre el comportamiento crediticio, financiero y comercial de los Clientes a través de las centrales de riesgo.

• Ofrecer los productos que los clientes, usuarios o visitantes requieran de la sociedad.

• Análisis de consumo y hábitos de las partes interesadas.

• Remisión de comunicaciones comerciales, publicitarias o promocionales para promover productos, eventos, talleres, concursos, etc., tanto propios como de terceros.

• Gestión del proceso de selección, evaluación y contratación de trabajadores así como los aspectos relacionados con la vinculación laboral.

• Gestión de información relacionada con las obligaciones tributarias, los registros comerciales, corporativos y contables.

• Gestión de los procedimientos internos para selección de proveedores y clientes.

• Archivo, actualización y protección de información existente en las bases de datos.

• Gestión en la transferencia y transmisión de la información a terceros con quienes tengan acuerdos o actos jurídicos con  diversos  propósitos,  entre ellos, comerciales, contractuales, administrativos, de mercadeo u operativos.

• Verificación de la identidad de las personas que ingresan a sus instalaciones por razones de seguridad, control y monitoreo.

• Atención y respuesta a peticiones, quejas y reclamos.

Las demás finalidades que determinen los Responsables en procesos de obtención de Datos Personales para su Tratamiento y que sean comunicadas a los Titulares en el momento de la recolección de los Datos Personales.

1. TRATAMIENTO DE DATOS PERSONALES DE LOS NIÑOS, NIÑAS Y

ADOLESCENTES

Según lo establecido en el artículo 7 de la Ley 1581 de 2012 y el artículo 12 del Decreto Reglamentario 1377 de 2013, GIOTO SAS solo llevará a cabo el tratamiento de datos relacionados con niños, niñas y adolescentes si se cumple con los siguientes requisitos:

1. El tratamiento debe estar en línea con el interés superior de los niños, niñas y adolescentes.

1. Se debe garantizar el respeto de sus derechos fundamentales.

Una vez verificado el cumplimiento de estos requisitos, GIOTO S.A.S. debe obtener la autorización del representante legal del niño, niña o adolescente, quien debe ser escuchado y su opinión valorada considerando su madurez, autonomía y capacidad para comprender el asunto.

En todo caso, para cualquier actividad educativa, pedagógica, comercial o de mercadeo que involucre a niños, niñas o adolescentes, es necesario obtener la autorización previa, expresa, informada y facultativa del representante legal, previa validación de su acreditación como representante o apoderado. La sociedad velará por el uso legal y adecuado de los datos pertenecientes a menores de edad asegurando que se respeten sus intereses y derechos fundamentales.

9. DERECHOS DE LOS TITULARES

De acuerdo con el artículo 8 de la Ley 1581 de 2012 y los artículos 21 y 22 del Decreto 1377 de 2013, los titulares de los datos personales tienen varios derechos respecto al tratamiento de sus datos. Estos derechos pueden ser ejercidos por las siguientes personas:

1. El propio Titular, quien debe acreditar su identidad a través de los medios que el Responsable del tratamiento ponga a su disposición.
2. Sus causahabientes, quienes deben demostrar dicha condición.
3. El representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
4. Por estipulación a favor de otro y para otro.

Los derechos de los menores de edad serán ejercidos por las personas facultadas para representarlos de acuerdo con lo establecido en el presente Manual.

Los derechos del Titular incluyen:

• Ser informado por el responsable del tratamiento, previa solicitud, sobre el origen, uso y finalidad de sus datos personales.
• Actualizar, rectificar o modificar datos que sean parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
• Solicitar la eliminación de los datos que sean inadecuados, excesivos o que no respeten los principios, derechos y garantías constitucionales y legales.
• Revocar la autorización previamente otorgada para el tratamiento de los datos personales.
• Solicitar la corrección de cualquier incumplimiento de la normativa de Protección de Datos.
• Solicitar prueba de la autorización otorgada al responsable del tratamiento, excepto en los casos en que la autorización no sea necesaria según lo previsto en el artículo 10 de la LEPD.
• Dar autorización clara y expresa para el tratamiento de datos personales.
• Solicitar prueba de la autorización otorgada al Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1582 de 2012.
• Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
• Conocer la política de tratamiento de datos de la entidad y a través de ella, el uso o finalidad que se le dará a sus datos personales.
• Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
• Identificar al responsable en GIOTO SAS, que dará trámite y respuesta a sus solicitudes, de acuerdo con el procedimiento establecido en la presente Política.
• Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
• Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

10. DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES

Todos los obligados a cumplir esta política deben tener presente que GIOTO SAS está comprometida a cumplir con los deberes que la ley impone. Por lo tanto, se deben acatar las siguientes obligaciones:

• Derecho de Hábeas Data: Garantizar al titular, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.
• Autorización: Solicitar y conservar una copia de la autorización otorgada por el titular para el tratamiento de sus datos personales.
• Finalidad y Derechos: Informar adecuadamente al titular sobre la finalidad de la recolección de datos y los derechos que le asisten en virtud de la autorización otorgada.
• Seguridad de la Información: Conservar la información bajo condiciones de seguridad necesarias para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Veracidad de la Información: Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Actualización de Datos: Actualizar oportunamente la información, atendiendo todas las novedades respecto a los datos del titular e implementar medidas necesarias para mantenerla actualizada.
• Rectificación de Información: Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
• Seguridad y Privacidad: Respetar las condiciones de seguridad y privacidad de la información del titular.
• Consultas y Reclamos: Tramitar las consultas y reclamos formulados conforme a los términos señalados por la ley.
• Información en Discusión: Identificar cuando determinada información está en discusión por parte del titular.
• Uso de Datos: Informar a solicitud del titular sobre el uso dado a sus datos.
• Violaciones de Seguridad: Informar a la autoridad de protección de datos sobre violaciones a los códigos de seguridad y riesgos en la administración de la información de los titulares.
• Cumplir Requerimientos: Cumplir los requerimientos e instrucciones impartidos por la Superintendencia de Industria y Comercio.
• Uso Autorizado de Datos: Usar únicamente datos cuyo tratamiento esté previamente autorizado conforme a lo previsto en la Ley 1581 de 2012.
• Datos de Menores: Velar por el uso adecuado de los datos personales de niños, niñas y adolescentes, cuando se entienda autorizado el tratamiento de sus datos.
• Reclamos en Trámite: Registrar en la base de datos la leyenda "reclamo en trámite" según lo regulado en la ley.
• Información en Discusión Judicial: Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• Información Controvertida: Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Acceso a la Información: Permitir el acceso a la información únicamente a personas autorizadas. Usar los datos personales del titular solo para las finalidades debidamente autorizadas y respetando la normativa vigente sobre protección de datos personales.
• Notificación de Violaciones: Informar a la Superintendencia de Industria y Comercio sobre violaciones a los códigos de seguridad y riesgos en la administración de la información de los titulares.
• Cumplimiento de Instrucciones: Cumplir con las instrucciones y requerimientos impartidos por la Superintendencia de Industria y Comercio.

1. PROCEDIMIENTO PARA EJERCER LOS DERECHOS DEL TITULAR Requisitos para la presentación de una solicitud de ejercicio de derechos ARC:

1. Para ejercer los derechos de Acceso, Rectificación y Cancelación (ARC) sobre sus datos personales, el titular debe presentar una solicitud ante el responsable de la política de tratamiento de datos personales de GIOTO SAS. La solicitud debe ser enviada al correo electrónico ventas@gioto.com.co e incluir la siguiente información:
• Nombre del titular de los datos personales.
• Documentos que acrediten la identidad del titular.
• Medio preferido para recibir notificaciones.
• Descripción clara y precisa de los datos personales que se deseen rectificar, cancelar u oponerse a su tratamiento.
• Descripción del derecho que se desea ejercer o de lo que solicita el titular:
• Derecho de Acceso: Especificar la modalidad en la que se prefiere recibir la reproducción de los datos personales solicitados.
• Derecho de Rectificación: Detallar las modificaciones que se desean realizar en los datos personales, adjuntando los documentos que sustenten la solicitud.
• Derecho de Cancelación: Indicar las razones que motivan la petición de eliminación de los datos de los archivos, registros o bases de datos del responsable del tratamiento.

Es importante tener en cuenta que si la solicitud no incluye la información mencionada anteriormente, GIOTO SAS puede solicitar la información faltante en un plazo máximo de cinco (5) días hábiles a partir del día siguiente a la presentación de la solicitud. El titular de los datos tendrá diez (10) días hábiles, contados a partir de la recepción de esta solicitud, para proporcionar la información requerida. Si no se cumple con este plazo, se considerará que la solicitud no ha sido presentada. 

1. Plazos y procedimiento para la atención de las solicitudes de ejercicio de derechos:

Una vez que la solicitud ha sido presentada y cumple con los requisitos establecidos,

GIOTO SAS deberá cumplir con lo siguiente:

La empresa tiene un plazo de veinte (20) días hábiles, contados a partir del día siguiente a la recepción de la solicitud, para informar al titular si procede o no el ejercicio del derecho solicitado. En casos excepcionales, este plazo puede extenderse una sola vez hasta un máximo de diez (10) días adicionales, si existen circunstancias que lo justifiquen.

Si se determina que procede el ejercicio del derecho, la empresa debe realizar las acciones necesarias para hacerlo efectivo dentro de un plazo de quince (15) días hábiles, contados a partir del día siguiente a la notificación de la respuesta anterior.

Aunque no proceda el ejercicio del derecho solicitado, la empresa debe responder al titular explicando las razones de la improcedencia dentro del plazo de veinte (20) días hábiles mencionado anteriormente.

1. MEDIDAS DE SEGURIDAD DE LOS DATOS

Las bases de datos en archivos físicos serán custodiadas bajo estrictas medidas de seguridad y tendrán restricciones de acceso, permitiendo solo al personal autorizado gestionar y conceder permisos, ya sea de manera escrita o verbal, para su procesamiento. El personal no autorizado no podrá manipular estas bases de datos en ningún caso.

Las bases de datos electrónicas estarán resguardadas en herramientas tecnológicas, como carpetas y servicios en la nube, con acceso restringido mediante claves de seguridad. Solo el personal autorizado podrá administrarlas y otorgar permisos para su procesamiento, ya sea de manera escrita o verbal. Se prohíbe terminantemente que personas no autorizadas traten estas bases de datos.

Todos los colaboradores y proveedores de GIOTO SAS están comprometidos a mantener la confidencialidad absoluta de cualquier información manejada en la empresa. Esto se aplica a toda la información relacionada con clientes, proveedores, empleados, aspirantes a empleo, clientes potenciales y otros titulares de datos, excepto cuando sea necesario compartir, enviar, comunicar, transferir, transmitir o revelar la información con fines autorizados expresamente por los titulares en relación con los servicios de representación, consultoría y asesoría proporcionados por la empresa.

La confidencialidad de los datos personales se mantendrá incluso después  de finalizar la relación entre un cliente, trabajador o proveedor y GIOTO SAS. Una vez que se cumpla el objetivo para el cual se usaron datos personales específicos, estos deberán ser eliminados de las bases de datos de la empresa.

a. Medidas de seguridad comunes Gestión de documentos y soportes

En el inventario de documentos y soportes se especifican los recursos que contienen las bases de datos.

Los usuarios autorizados, son responsables de garantizar que solo ellos puedan acceder a los documentos y soportes que contienen datos personales, evitando el acceso de personas no autorizadas.

Es crucial que los documentos y soportes clasifiquen los datos según su tipo de información, sean incluidos en el inventario correspondiente y estén accesibles únicamente para el personal autorizado. En casos donde las características de los documentos impidan esta identificación, se debe justificar debidamente en el registro de entrada y salida de documentos, así como en el Manual Interno de Seguridad.

Los documentos y soportes que contengan datos personales sensibles deben ser identificados mediante sistemas de etiquetado comprensibles y significativos, diseñados para que los usuarios autorizados puedan identificar su contenido, mientras dificultan esta identificación para personas no autorizadas.

La salida de documentos y soportes que contengan datos personales de los locales bajo el control del responsable del tratamiento requiere autorización expresa por parte de este último. Este requisito también aplica a los documentos o soportes adjuntos y enviados por correo electrónico.

Control de acceso

El acceso del personal de GIOTO SAS a datos y recursos está limitado exclusivamente a aquellos necesarios para cumplir con sus funciones específicas, conforme a la autorización otorgada por el responsable del tratamiento según las directrices establecidas en este manual.

GIOTO SAS gestiona una lista actualizada de usuarios, perfiles de usuarios y los accesos autorizados correspondientes para cada uno de ellos. Para garantizar la seguridad y protección de los datos, implementa mecanismos que impiden el acceso a información por parte de usuarios no autorizados. En el caso de soportes informáticos, esto puede incluir la asignación de contraseñas, mientras que para documentos físicos se utilizan llaves u otros dispositivos de apertura en los dispositivos de almacenamiento.

La modificación de datos o información, así como la gestión de concesiones, alteraciones, inclusión o anulación de accesos autorizados y usuarios en la lista mencionada, es responsabilidad exclusiva del personal autorizado.

Cualquier individuo externo a GIOTO SAS que tenga acceso legal y autorizado a los recursos protegidos estará sujeto a las mismas condiciones de seguridad y obligaciones que el personal interno.

Responsable de seguridad

GIOTO SAS ha designado a un responsable de seguridad encargado de coordinar y supervisar las medidas de seguridad descritas en este manual. Este mismo responsable también se encarga de la seguridad de las bases de datos sensibles y no automatizadas, cuyos detalles se especifican en el numeral 6 del presente documento.

Es importante destacar que, conforme a la normativa sobre protección de datos, la designación de responsables de seguridad no exime de responsabilidad al responsable del tratamiento o al encargado del tratamiento.

Auditorías

Las bases de datos que contengan datos personales y estén bajo tratamiento por GIOTO SAS, clasificadas con nivel de seguridad sensible o privado, deben ser sometidas, al menos cada dos años, a una auditoría interna o externa. Esta auditoría tiene como objetivo verificar el cumplimiento de las medidas de seguridad establecidas en este manual.

La auditoría cubrirá tanto los sistemas de información como las instalaciones utilizadas para el almacenamiento y tratamiento de datos.

Ciberseguridad

La ciberseguridad abarca un conjunto completo de políticas, conceptos de seguridad, recursos, controles de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación, desarrollo, formación y buenas prácticas. Estas están diseñadas para prevenir y proteger los datos, sistemas y aplicaciones, salvaguardando a los consumidores financieros y los activos de la entidad en el ciberespacio. Todo esto se realiza manteniendo los principios básicos de la Seguridad de la Información.

Aspectos clave de la ciberseguridad incluyen:

• Control de accesos: Proceso mediante el cual se regula quién tiene permiso para acceder a aplicaciones, servidores, equipos tecnológicos y otros recursos, según los perfiles de acceso asignados.
• No repudio: Condición que asegura que no se puede negar la realización de una acción llevada a cabo en la plataforma tecnológica, basándose en registros de auditorías.

Estas prácticas son esenciales para garantizar la protección de la información sensible, mantener su confidencialidad, integridad y disponibilidad, y fortalecer la seguridad y confianza en todas las operaciones digitales de la entidad.

1. Objetivos de Seguridad de la Información

GIOTO SAS ha definido los siguientes objetivos en materia de Seguridad de la Información y Ciberseguridad:

• Cumplir con obligaciones legales: Garantizar el cumplimiento de todas las normativas vigentes relacionadas con la Seguridad de la Información y Ciberseguridad que apliquen a la Entidad. Esto implica tomar las medidas necesarias de acuerdo con las operaciones específicas realizadas por GIOTO SAS
• Gestionar riesgos eficientemente: Administrar de manera eficiente los riesgos asociados con la Seguridad de la Información y Ciberseguridad en todos los procesos de la organización. El objetivo es asegurar la continuidad y la calidad en las operaciones del negocio.
• Promover la conciencia y discusión interna: Facilitar la discusión dentro de la Entidad sobre temas de Seguridad de la Información y Ciberseguridad. Esto incluye aumentar la conciencia entre  colaboradores,  clientes  y  contratistas sobre las posibles amenazas y riesgos asociados con la seguridad de la información en el contexto del negocio.
• Apoyar y mejorar la calidad operativa: Contribuir al soporte y la mejora de la calidad de las operaciones de GIOTO SAS. Esto se logra mediante un equilibrio adecuado entre funcionalidad y seguridad, conforme a las mejores prácticas de la industria.

1. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

De acuerdo con lo establecido en la Ley 1581 de 2012, GIOTO SAS podrá enviar datos personales a Responsables que se encuentren fuera del territorio  nacional.  De ocurrir, dicha comunicación de datos se efectuará para las mismas finalidades informadas en este documento y deberá ser previa y expresamente informado al Titular en la autorización.

De conformidad con el artículo 26 de la Ley 1581 de 2012 y la Circular V de 2017 de la Superintendencia de Industria y Comercio, GIOTO SAS debe verificar que la transferencia se realice a países que cumplan con un nivel adecuado de protección de datos personales. Si GIOTO SAS pretende suscribir un contrato u otro instrumento negocial para realizar la transferencia internacional de datos personales a países que no se encuentren en la lista de países que no cuentan con un nivel adecuado de protección de datos personales, deberá adelantar el procedimiento indicado en el numeral 3.3 del Título V de la Circular Única de la Superintendencia de Industria y Comercio para solicitar su Declaración de Conformidad para la transferencia de datos personales. En desarrollo de dicho procedimiento, GIOTO SAS deberá presentar la información requerida de acuerdo con la Guía proferida por

la Superintendencia de Industria y Comercio, con el fin de verificar el cumplimiento de los siguientes requisitos:

1. Señalar las condiciones que regirán la transferencia internacional y mediante las cuales se garantice el cumplimiento de los principios que rigen el tratamiento de datos personales.

1. Determinar las obligaciones que tienen a cargo las partes.

1. Comunicar a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio sobre la operación que pretende realizar.

1. Declarar que ha suscrito el contrato de transferencia u otro instrumento negocial que garantice la protección de datos personales.

La prohibición de realizar transferencia internacional de datos personales a países que no cumplan con un nivel adecuado de protección de datos no regirá cuando la operación esté comprendida dentro de alguna de las excepciones establecidas en el artículo 26 de la Ley 1581 de 2012, así:

1. Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;

1. Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;

1. Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;

1. Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;

1. Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;

1. Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

De acuerdo con el parágrafo del artículo 3.3 del Título V de la Circular Única de la Superintendencia de Industria y Comercio, cuando GIOTO SAS, como Responsable, suscriba un contrato con el Responsable del Tratamiento destinatario de los datos o implemente otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de

las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.

En tal caso, GIOTO SAS podrá realizar la transferencia internacional de datos personales a los Responsables del Tratamiento, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informe sobre la operación a realizar y declare que han suscrito el contrato de transferencia u otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser verificado en cualquier momento por la Superintendencia y, en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar.

14. TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES

GIOTO SAS puede realizar la comunicación de datos personales a terceros ubicados fuera del territorio nacional con el fin de que estos, como Encargados, realicen su tratamiento, por cuenta de GIOTO SAS, en su calidad de Responsable.

Dichas transmisiones internacionales de datos personales no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 2.2.2.25.5.2 del Decreto Único 1074 de 2015 o en aquellos casos en los que la operación esté cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

El contrato que GIOTO SAS suscriba con los Encargados que se encuentren fuera de Colombia, deberá señalar:

1. Los alcances del tratamiento.

1. Las actividades que el Encargado realizará por cuenta de GIOTO SAS.

1. Las obligaciones del Encargado para con el Titular y GIOTO SAS.

En dicho contrato el Encargado se debe comprometer a cumplir las obligaciones del Responsable de acuerdo con esta Política de Tratamiento de Datos Personales y a realizar el tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y las normas aplicables. Adicionalmente, el contrato deberá contener las siguientes obligaciones:

1. Dar tratamiento, a nombre de GIOTO SAS, a los datos personales conforme a los principios que los tutelan.

1. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
2. Guardar confidencialidad respecto del tratamiento de los datos personales.

15. MODIFICACIÓN

GIOTO SAS se reserva el derecho de modificar este manual y sus políticas según sea necesario para su operación y cumplimiento normativo. Sin embargo, si hay modificaciones significativas en la política de Tratamiento de Datos Personales, se informará la versión actualizada mediante medios de comunicación utilizados por la compañía.