Política de tratamiento de la información

1. INFORMACIÓN GENERAL

SOAIN SOFTWARE ASSOCIATES S.A.S. en adelante “SOAINT” con NIT. 900.197.910-8 sociedad debidamente constituida conforme con las leyes colombianas, con domicilio en la ciudad de Bogotá D.C., es una empresa dedicada principalmente a la prestación de servicios de tecnología informática; ingeniería de sistemas; gestión documental y/o soluciones relacionadas. Su compromiso con la privacidad y la protección de cualquier tipo de información que se relacione o pueda asociarse a personas naturales determinadas o determinables (los “Datos Personales”) es fundamental, por lo cual ha adoptado medidas de protección de Datos Personales en todos los procesos en los cuales se recolectan, almacenan, utilizan, entregan, transmiten, transfieren o se realiza cualquier operación sobre la información (el “Tratamiento”) de personas naturales determinadas o determinables, que incluyen pero no se limitan a los clientes, proveedores, empleados y usuarios de la página web www.soaint.com (los “Titulares”). POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 2 de 14 2

2. ALCANCE

Esta Política de Protección de Datos Personales se aplicará a todas las Bases de Datos y/o Archivos que contengan Datos Personales que sean objeto de Tratamiento por parte de SOAINT, en calidad de responsable del tratamiento de Datos Personales. Esta Política aplicará a todos los empleados, terceros, clientes o contratistas que realicen Tratamiento de Datos Personales en el desarrollo de su relación comercial o laboral con SOAINT, o a quienes se haya encargado una labor general o específica, a partir de la cual se derive un Tratamiento particular de Datos Personales. Esta Política no será aplicable cuando SOAINT actué como Encargado, pues el encargo supone la delimitación de las finalidades por parte del tercero que contrata y trasmite sus bases de datos a SOAINT dando instrucciones precisas frente al tratamiento que debe dársele a los Datos Personales. En este sentido cuando SOAINT sea Encargado del Tratamiento se someterá a la política de Tratamiento de la información del Responsable de los datos. Finalmente, esta Política les aplicará a los terceros con quienes SOAINT haya suscrito un contrato de transmisión o transferencia de Datos Personales o entregue información para el desarrollo de actividades particulares, siempre que SOAINT actúe en calidad de Responsable.

3. DEFINICIONES

Los términos relevantes de esta política de Tratamiento de la información tendrán el significado que a continuación se le asigna.

 Autorización: Es la comunicación verbal o escrita generada por SOAINT dirigida a los Titulares para informarle de la existencia de esta Política, la forma de acceder a ella y por medio de la cual haciendo clic realiza una conducta inequívoca autorizando el Tratamiento de sus Datos Personales para las finalidades y en los términos de esta Política.

 Autorizado: Son aquellas personas que pueden ejercer los derechos del Titular, tales como, el Titular, acreditando su identidad por los medios que tenga a su disposición, los causahabientes que acrediten esa calidad, el representante y/o apoderado acreditándose mediante apoderamiento o representación legal y aquellos que, por estipulación a favor de otro o para otro estén acreditados. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 3 de 14 3

 Base de Datos: Conjunto organizado de Datos Personales que sean recolectados, encargados y tratados por SOAINT.

 Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Adicionalmente, el Dato Personal debe permitir, en mayor o menor medida, la identificación del Titular. Estos incluyen, pero no se limitan a nombre, apellido, correo electrónico, teléfono, dirección y cualquier información vinculada al Titular.

 Dato Privado: aquel que por su naturaleza íntima o reservada sólo es relevante para el Titular.

 Dato Público: Es aquel que no sea semiprivado, privado o sensible. Son considerados datos públicos aquellos relativos al estado civil de las personas, su profesión, el número de cédula, y otros datos contenidos en registros públicos, documentos públicos, gacetas y boletines oficiales.

 Dato Semiprivado: Es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial.

 Dato Sensible: Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su titular y en los casos previstos en la ley.

 Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento. En los eventos en que el Responsable no ejerza como Encargado de la Base de Datos, se identificará expresamente quién será el Encargado.

 Entidad Pública: Son la Nación, las regiones, los departamentos, las provincias, el Distrito Capital y los distritos especiales, las áreas metropolitanas, las asociaciones de municipios, los territorios indígenas y los municipios; los establecimientos públicos, las empresas industriales y comerciales del Estado, las sociedades de POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 4 de 14 4 economía mixta en las que el Estado tenga participación superior al cincuenta por ciento (50%), así como las entidades descentralizadas indirectas y las demás personas jurídicas en las que exista dicha participación pública mayoritaria, cualquiera sea la denominación que ellas adopten, en todos los órdenes y niveles con quienes SOAINT haya suscrito un contrato estatal para el apoyo de las actividades de las entidades.

 Política de Tratamiento de la Información: Es el presente documento que contiene los lineamientos del Tratamiento de Datos Personales que surjan en cualquier tipo de Tratamiento que realice SOAINT sobre los Datos Personales. Particularmente, este incluye las finalidades, los tipos de Tratamiento, los derechos de los Titulares, los procedimientos para garantizar esos derechos y las personas dentro de la organización, encargadas de atender las consultas y/o reclamos.

 Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.

 RGDPC o Régimen General de Protección de Datos Personales colombiano: Es el conjunto de normas que regula el Tratamiento de Datos Personales en el territorio colombiano tales como, el artículo 15 de la Constitución Política colombiana; la Ley 1581 de 2012; el Decreto 1377 de 2013; el Decreto 886 de 2014; la Sentencia C-748 de 2011, y las demás normas que las modifiquen o adicionen.

 Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

 Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

 Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

 Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 5 de 14 5

4. TRATAMIENTO

En ejercicio de su objeto social, SOAINT a través de los colaboradores que hacen parte de la Dirección General, Gerencia de Operaciones, Gerencia Comercial , Gerencia Financiera, Gerencia de Talento Humano, o a través de contratistas o mandatarios encargados de ello, realiza el Tratamiento de datos personales de: empleados, clientes, contratistas y subcontratista, empleados de sus contratistas y subcontratistas, proveedores, cualquiera de ellos sean activos o inactivos, participantes de los procesos de selección de personal. El tratamiento de los datos personales, incluye la transmisión o transferencia de cierta información personal a sus sucursales nacionales o extranjeras, a sus socios, en el marco de acuerdos de colaboración empresarial, a entidades gubernamentales o judiciales por solicitud expresa de las mismas, a clientes, durante y con ocasión de la ejecución de los contratos suscritos con ellos, o soportar procesos de auditoría interna o externa. En desarrollo de los principios de finalidad y libertad, la recolección de datos personales por parte de SOAINT se limitará a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del Titular. El Tratamiento de datos incluye la recolección, almacenamiento, administración, utilización, transferencia o transmisión (según corresponda), en la forma permitida por la ley y se realiza con la siguiente finalidad específica para cada caso:

 Tratamiento de datos personales de empleados (activos o inactivos): Se realiza para cumplir con: i) Las obligaciones laborales a cargo de SOAINT, tales como: pagos de nómina, pagos y reportes al sistema de seguridad social integral; pago de parafiscales; ii) Atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el Titular de la información o por sus legitimarios, o por entidades del sistema general de seguridad social integral a los que el Titular esté o hubiere estado vinculado; iii) Las obligaciones contractuales contraídas con los clientes, proveedores, contratistas con ocasión de la ejecución de proyectos o contratos; iv) Las condiciones o exigencias de los concursos públicos y privados, licitaciones públicas y privadas, manifestaciones de interés públicas o privadas, precalificaciones públicas o privadas, presentación de propuestas, y en general, a la inscripción o participación en cualquier proceso de selección de contratación público o privado. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 6 de 14 6

 Tratamiento de datos personales de Contratistas, Subcontratistas y Proveedores: Permite el cumplimiento de obligaciones contractuales a cargo de SOAINT, tales como: pago de honorarios, reportes de pagos, reportes o interacciones que, por ley, por obligaciones contractuales en proyectos o por políticas internas tiene la obligación de realizar, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el Titular de la información o por sus legitimarios.

 Tratamiento de datos personales de empleados de Contratistas, Subcontratistas y Proveedores: Se realizará para permitir que SOAINT cumpla con las obligaciones contractuales a su cargo, tales como: asignación y control de elementos tecnológicos, materiales, equipos, identificación de ingreso, seguimiento a cumplimiento de obligaciones a cargo de Contratistas, atención de eventuales emergencias, atención respuesta de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el Titular de la información o por sus legitimarios.

 Tratamiento de datos personales de Clientes: El Tratamiento de datos personales de Clientes, tiene el propósito de que SOAINT pueda cumplir con las obligaciones contractuales a su cargo, tales como facturación, reportes de pagos o interacciones que, por ley, por contratos o por políticas internas tiene la obligación de realizar, sistema de calidad, atención de consultas, peticiones, solicitudes, acciones y reclamos, hechas por el Titular de la información o por sus legitimarios.

 Tratamiento de datos personales de los participantes de los procesos de selección de personal Tiene el propósito de que SOAINT pueda cumplir con el proceso de selección de personal de SOAINT y de ser procedente, con el proceso de vinculación.

5. FINALIDAD

El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al titular para que éste exprese su consentimiento informado. Calidad o veracidad del dato. Los datos de carácter personal recolectados por SOAINT deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 7 de 14 7 actualizados. Se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error. Transparencia. En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen. Acceso y Circulación Restringida. Los datos personales que recolecte o trate SOAINT serán usados por esta empresa solo en el ámbito de la finalidad y autorización concedida por el titular del dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros cuando la finalidad sea distinta a la de la relación comercial ni sean requeridos explícitamente para el desarrollo de las actividades comerciales de SOAINT. Los datos personales bajo custodia de SOAINT no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso tenga trazabilidad, sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a lo dispuesto en la ley y los principios que gobiernan la materia. Temporalidad de los datos. Agotada la finalidad para la cual fue recolectada y/o tratado el dato personal, SOAINT deberá cesar en su uso y por ende adoptará las medidas de seguridad pertinentes a tal fin. Para tal fin se tendrán en cuenta las obligaciones de ley comercial en materia de conservación de libros de comercio y correspondencia del comerciante. Seguridad del Dato. SOAINT, en calidad de responsable o encargado del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales. SOAINT, conforme la clasificación de los datos personales, implementará las medidas de seguridad de nivel alto, medio o bajo, aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento. Confidencialidad. SOAINT y todas las personas que intervengan en el tratamiento de datos de carácter personal, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual. SOAINT implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido. Deber de Información. SOAINT informará a los titulares de los datos personales, así como a los responsables y encargados del tratamiento, del régimen de protección de datos adoptado por la organización, así como respecto de la finalidad y demás principios que regulan el tratamiento de estos datos. Así mismo informará sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del habeas data por parte de los titulares, procediendo al registro que exige la ley. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 8 de 14 8 Protección especial de datos sensibles. SOAINT no recolectará ni tratará datos personales ligados exclusivamente a ideologías políticas, afiliación sindical, creencias religiosas, vida sexual, origen étnico, y datos de salud, salvo autorización expresa del titular y en aquellos casos de ley en los cuales no se requiera del consentimiento. La información personal de carácter sensible que se pueda obtener de un proceso de selección de personal o de acuerdo a las políticas de control de acceso, será protegida a través de las medidas de seguridad altas.

6. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES

Esta Política informa y garantizará el derecho al Habeas Data de los Titulares como la facultad al Titular de Datos Personales de exigir a los Responsables de los Datos Personales el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos. En este sentido, y de acuerdo con el RGDPC, el Titular tiene los siguientes derechos:

1. Conocer, actualizar, modificar y rectificar los Datos Personales frente a los Responsables o Encargados del Tratamiento de manera gratuita, de acuerdo con lo señalado en el artículo 21 del Decreto 1377 de 2013.

2. Solicitar prueba de la autorización otorgada a SOAINT, o, en su defecto, la implementación del mecanismo eficiente o alterno de comunicación, de conformidad con el artículo 10 del Decreto 1377 de 2013. Esta autorización puede ser otorgada de manera verbal, escrita o por medio de conductas concluyentes como a través de un clic aceptando las condiciones y términos de uso de la página web y de esta Política en caso de los usuarios, por lo cual dicha copia puede ser un pantallazo u otro medio que pruebe el otorgamiento de la autorización.

3. Solicitar información sobre los usos y las finalidades a las que están siendo sometidos sus Datos Personales.

4. Presentar quejas por infracciones ante la Superintendencia de Industria y Comercio en materia de Datos Personales, previa solicitud, consulta o reclamo dirigido a SOAINT o a el Encargado del Tratamiento de los Datos Personales.

5. Revocar la autorización y/o solicitar la supresión de sus Datos Personales y su almacenamiento en bases de datos de SOAINT, siempre y cuando no exista un deber legal o contractual que impida el ejercicio de este derecho de supresión. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 9 de 14 9

6. Acceder en forma gratuita a los Datos Personales que hayan sido recolectados por SOAINT.

7. Los demás derechos que sean conferidos por el Régimen de Protección de Datos Personales. Los anteriores derechos únicamente podrán ejercerse por aquellos Titulares o Autorizados que acrediten de manera suficiente con la documentación pertinente o credenciales confiables su identificación.

7. PROCEDIMIENTO PARA EJERCICIO DE DERECHOS POR PARTE DE TITULARES

A continuación, se describirán los términos y la forma de presentar: 

(i) consultas; (ii) reclamos o (iii) solicitudes de supresión de los datos personales. Los titulares podrán iniciar estos procedimientos para garantizar sus derechos al Habeas Data o informar de un incumplimiento que, a su juicio considere grave en relación con las obligaciones a cargo de SOAINT. CONSULTAS Los Titulares o los Autorizados podrán elevar consultas sobre cualquier información que repose en las Bases de Datos administradas por SOAINT. Una vez SOAINT reciba la consulta adelantará los pasos que se describen a continuación. Tenga en cuenta que la consulta podrá enviarse por correo electrónico a la persona encargada en SOAINT de atender los asuntos relacionados con la privacidad y la protección de Datos Personales. Preferiblemente el asunto de referencia deberá ser: “habeas data”.

1. SOAINT verificará la identidad del solicitante para determinar si está legitimado para elevar la consulta y si es, bajo parámetros razonables, el mismo suscriptor.

2. Si el solicitante tiene las credenciales y/o autorizaciones para elevar la consulta, entonces SOAINT procederá a atenderla dentro de los siguientes diez (10) días hábiles, contados desde la recepción de la consulta.

3. Si el solicitante no tiene las credenciales y/o autorizaciones correspondientes para consultar sobre ciertos Datos Personales, se le informará dentro de los diez (10) días hábiles, contados desde la recepción de la consulta. En este caso, se le dará la opción al solicitante que demuestre la capacidad o la autorización para elevar la consulta, aportando información adicional. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 10 de 14 10 Si en los puntos 3 y 4 la consulta no puede ser atendida dentro de los diez (10) días hábiles, se contactará al solicitante para comunicarle los motivos por los cuales el estado de la solicitud se encuentra en “trámite”. No obstante, la respuesta definitiva no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. Las respuestas serán enviadas preferentemente por correo electrónico o por un medio similar al cual fueron recibidas. En todo caso, las respuestas definitivas a todas las solicitudes no pueden tardar más de quince (15) días hábiles desde la fecha en la que la solicitud inicial fue recibida por SOAINT. SOAINT guardará copia de todas las consultas, por si los Titulares o Autorizados desean copia de ellas eventualmente. RECLAMOS Los Titulares o Autorizados podrán elevar reclamos en relación con los Datos Personales a SOAINT y sus Encargados. Tenga en cuenta que los reclamos podrán enviarse por correo electrónico a la persona en SOAINT encargada del tema de protección de Datos Personales. Tenga en cuenta que los reclamos podrán versar sobre:

 Información incorrecta.

 Ausencia de autorización o consentimiento en los términos de la Ley 1581 de 2012 o, en su defecto, del artículo 10 del Decreto 1377 de 2013.

 Información desactualizada o parcializada.

 Incumplimiento de SOAINT frente a los deberes u obligaciones de conformidad con el RGDPC.

 Falta de integridad o seguridad de la información (aduciendo las razones suficientes).

 Información que se desea suprimir.

 Revocatoria de la información.

Para la interposición de reclamos se deberán tener en cuenta los siguientes pasos:

1. SOAINT verificará la identidad del solicitante para determinar si está legitimado para interponer el reclamo.

2. El reclamo deberá contener los siguientes puntos: (i) nombre y apellido del Titular del Dato Personal; (ii) breve descripción de los hechos, y (iii) motivo o finalidad del reclamo. Adicionalmente, si es el caso, deberá anexar la documentación o pruebas pertinentes para sustentar el reclamo. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 11 de 14 11

3. Si el reclamo está incompleto, SOAINT podrá solicitarle al reclamante que subsane el reclamo dentro de los siguientes cinco (5) días hábiles, contados desde la fecha de recepción del reclamo. El reclamante tendrá un término de dos (2) meses para aportar y allegar la documentación exigida, de lo contrario se entenderá que el reclamante ha desistido del reclamo.

4. SOAINT dentro de los dos (2) días hábiles siguientes de la fecha de recepción del reclamo incluirá en su Base de Datos una leyenda que diga “reclamo en trámite” en los Datos Personales que están siendo objeto de reclamo.

5. SOAINT responderá el reclamo dentro de los siguientes quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Si no fuese posible atender el reclamo dentro de ese término, se le informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo. En todo caso, el reclamo no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

SUPRESIÓN El Titular tiene el derecho, en todo momento, a solicitarle a SOAINT la supresión de sus Datos Personales siempre que:

1. Considere que los Datos Personales no están siendo tratados conforme a los principios, deberes y obligaciones previstas en el RGDPD.

2. Hayan dejado de ser necesarios o pertinentes para las finalidades para las cuales fueron recolectados.

3. Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados. Tenga en cuenta que, si la solicitud de supresión es procedente, por no mediar un deber legal o contractual para mantener los Datos Personales, la consecuencia directa es la eliminación total o parcial de sus Datos Personales, sin los cuales en algunos casos no podrá obtener nuestros servicios. El derecho de supresión no es absoluto y SOAINT puede negar el ejercicio del mismo cuando: POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 12 de 14 12 1. Exista un deber legal o contractual de permanecer en la Base de Datos. 2. La supresión pueda obstaculizar las actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. 3. Los Datos Personales sean necesarios para proteger los intereses jurídicamente tutelados del Titular. 4. Se vaya a realizar una acción en función del interés público. 5. Se actúe para cumplir con una obligación legalmente adquirida por el Titular.

8. LIMITACIONES TEMPORALES AL TRATAMIENTO DE LOS DATOS PERSONALES 

SOAINT sólo podrá realizar el Tratamiento de datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el Tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del Tratamiento o vencido el plazo máximo legal en el cual SOAINT tiene la obligación de conservar los datos personales SOAINT o el Encargado del Tratamiento procederán a la supresión de los datos personales en su posesión. SOAINT y los Encargados del Tratamiento deberán documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.

9. ÁREA RESPONSABLE DE LA IMPLEMENTACIÓN Y OBSERVANCIA DE ESTA POLÍTICA

En SOAINT el área de habeas data estará a cargo del Coordinador Jurídico, quien se encargará de atender cualquier consulta o reclamo de los Titulares o los Autorizados. Estas consultas o reclamos se podrán dirigir a: POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 13 de 14 13 Nombre de la Compañía SOAIN SOFTWARE ASSOCIATES S.A.S. Nombre de la persona encargada María Camila Herrera Padilla (Coordinación Jurídica) Correo electrónico [email protected] Teléfono (+571) 7451556-7451557-7451558 Dirección Calle 100 No. 23- 20 Oficina 603

10. AUTORIZACIÓN

SOAINT debe solicitar autorización previa, expresa e informada a los Titulares de los Datos Personales sobre los que requiera realizar el Tratamiento. Autorización previa significa, que el consentimiento debe ser otorgado por el Titular, a más tardar en el momento de la recolección de los Datos Personales. Autorización expresa quiere decir que el consentimiento del Titular debe ser explícito y concreto, no son válidas las autorizaciones abiertas y no específicas. Se requiere que el Titular manifieste su voluntad de autorizar que SOAINT realice el Tratamiento de sus Datos Personales. Esta manifestación de voluntad del Titular puede darse a través de diferentes canales de comunicación puestos a disposición por SOAINT tales como:

 Por escrito, por ejemplo, diligenciando un formato de autorización como el indicado en el anexo

 De forma oral, por ejemplo, en una conversación telefónica o en videoconferencia.

 Mediante conductas inequívocas que permitan concluir que otorgó su autorización, por ejemplo, a través de su aceptación expresa a los Términos y Condiciones de una actividad dentro de los cuales se requiera la autorización de los participantes para el Tratamiento de sus Datos Personales. IMPORTANTE: En ningún caso SOAINT asimilará el silencio del Titular a una conducta inequívoca. Cualquiera que sea el mecanismo utilizado por SOAINT es necesario que la autorización se conserve para poder ser consultada con posterioridad. Autorización Informada significa que, al momento de solicitar el consentimiento al Titular, debe informársele claramente:

 Los Datos Personales que serán recolectados.

 La identificación y datos de contacto del Responsable y del Encargado del Tratamiento.

 Las finalidades específicas del Tratamiento que se pretende realizar, es decir: cómo y para qué se va a hacer la recolección, el uso, la circulación de los Datos Personales. POLÍTICA GENERAL DE TRATAMIENTO DE LA INFORMACIÓN Código: P-DG-1-Doc-1 Fecha: 03 -2019 Versión: 1 Pág. Página 14 de 14 14

 El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de niñas, niños y adolescentes.

11. TRANSFERENCIA, TRANSMISIÓN Y REVELACIÓN DE DATOS PERSONALES

SOAINT podrá entregar los Datos Personales a terceros no vinculados a SOAIN cuando: a. Se trate de contratistas en ejecución de contratos para el desarrollo de las actividades de SOAINT; b. Por transferencia a cualquier título de cualquier línea de negocio con la que se relaciona la información En todo caso, en los contratos de transmisión de Datos Personales, que se suscriban entre SOAINT y los Encargados para el Tratamiento de Datos Personales, se exigirá que la información sea tratada conforme a esta Política de Protección de Datos Personales y se incluirán las siguientes obligaciones en cabeza del respectivo Encargado:

 Dar Tratamiento, a nombre de SOAINT a los Datos Personales conforme los principios que los tutelan.

 Salvaguardar la seguridad de las bases de datos en los que se contengan Datos Personales.

 Guardar confidencialidad respecto del Tratamiento de los Datos Personales.

12. LEGISLACIÓN APLICABLE

Esta Política de Protección de Datos Personales, y el Formato de Autorización que hace parte de esta Política, se rigen por lo dispuesto en la legislación vigente sobre protección de los Datos Personales a los que se refieren el Artículo 15 de la Constitución Política de Colombia, la Ley 1266 de 2008, la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1727 de 2009 y demás normas que las modifiquen, deroguen o sustituyan. 13. VIGENCIA La presente Política entra en vigencia el día 7 del mes marzo de 2019. Cualquier modificación no sustantiva de la misma no será notificada directamente a los Titulares. Sin embargo, el cambio de la persona o área encargada del tema de protección de Datos Personales, la modificación material de las finalidades o de los datos de contacto del Responsable, serán informados por vía de correo electrónico a los Titulares o por cualquier otro medio disponible.