Aviso de Privacidad - CasaToro Colombia
Logo CasaToro
Versión: 002
Código: GLG-FO-0002

AVISO DE PRIVACIDAD

El presente Aviso de Privacidad establece los términos y condiciones en virtud de los cuales CASATORO S.A BIC (en adelante “La Empresa”), identificada con NIT. 830.004.993-8, con domicilio en Carrera 72 No. 170-97 de la ciudad de Bogotá D.C., está realizando el tratamiento de sus datos personales bajo los siguientes términos.

Principios aplicables al tratamiento de datos personales

En el desarrollo de sus actividades, La Empresa realizará el Tratamiento de Datos Personales conforme a los principios consagrados en la Constitución Política, la ley y las instrucciones impartidas por la Superintendencia de Industria y Comercio, en especial los siguientes:

Principio de legalidad en materia de tratamiento de datos personales:
El Tratamiento de Datos Personales es una actividad reglada que debe sujetarse a lo dispuesto en la Constitución Política, la ley, la Circular Única de la Superintendencia de Industria y Comercio en su Título V y las demás disposiciones que desarrollen el régimen de protección de datos personales, así como a las instrucciones impartidas por la Superintendencia de Industria y Comercio.

Principio de finalidad:
El Tratamiento de Datos Personales debe obedecer a una finalidad legítima, específica y acorde con la Constitución y la ley, la cual será informada previamente al Titular de manera clara, suficiente y comprensible.

Principio de libertad:
El Tratamiento de Datos Personales sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos, utilizados o divulgados sin autorización previa, salvo en los casos expresamente autorizados por la ley o por mandato judicial o administrativo.

Principio de veracidad o calidad:
La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia:
En el Tratamiento de Datos Personales se garantizará al Titular el derecho a obtener del Responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones indebidas, información acerca de la existencia de datos personales que le conciernan, así como sobre su tratamiento.

Principio de acceso y circulación restringida:
El Tratamiento de Datos Personales se sujetará a los límites que se derivan de la naturaleza de los datos, de la ley y de la Constitución. En consecuencia, el acceso y circulación de los datos personales sólo podrá realizarse por personas autorizadas por el Titular o por quienes estén legalmente facultados. Los datos personales, salvo la información de naturaleza pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable y se garantice un conocimiento restringido exclusivamente a los Titulares o a terceros debidamente autorizados.

Principio de seguridad:
La información sujeta a Tratamiento deberá ser manejada con las medidas técnicas, humanas y administrativas razonables y necesarias para garantizar su seguridad, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, de conformidad con los estándares exigidos por la ley y las instrucciones de la Superintendencia de Industria y Comercio.

Principio de confidencialidad:
Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos estarán obligadas a garantizar la reserva y confidencialidad de la información, incluso después de finalizada su relación con las labores que comprendan el Tratamiento. Los datos personales sólo podrán ser suministrados o comunicados cuando ello corresponda al desarrollo de actividades autorizadas por la ley y en los términos de la misma.

Finalidades del tratamiento de datos personales:
En desarrollo de su objeto social y dentro del giro ordinario de sus actividades, La Empresa tiene relaciones comerciales y/o jurídicas con clientes, proveedores, aliados comerciales, vinculados y demás terceros autorizados, en virtud de las cuales recolecta, almacena, usa, actualiza, transmite y transfiere datos personales.

En este sentido, La Empresa informa a los Titulares que, mediante la autorización otorgada, la compañía se encuentra facultada para recolectar, almacenar, usar, circular, transmitir y transferir, a nivel nacional e internacional, los datos personales, comerciales y financieros suministrados por medios físicos, electrónicos o digitales, para las finalidades que se indican a continuación, las cuales serán desarrolladas de conformidad con la ley, las presentes políticas y las instrucciones de la Superintendencia de Industria y Comercio:

Finalidades aplicables a clientes:

Los datos personales de los clientes, entendidos como personas naturales o jurídicas que mantienen o buscan mantener una relación comercial o contractual con La Empresa serán tratados para las siguientes finalidades:

Finalidades comerciales, contractuales y de prestación del servicio:

• Proveer servicios y productos.

• Mejorar la experiencia de los clientes.

• Dar información sobre nuevos productos o servicios, cambios en los mismos, promociones, información comercial y eventos.

• Implementar programas de Fidelización de clientes.

• Analizar perfiles.

• Realizar encuestas de opinión y satisfacción.

• Adelantar procesos de prospección comercial.

• Segmentar mercados.

• Gestionar procesos administrativos, comerciales, operativos y de logística asociados a los productos y servicios que comercializa La Empresa.

• Realizar procesos de gestión de facturación, consulta a centrales de riesgo, recaudo, pagos, devoluciones y demás obligaciones económicas derivadas de la relación comercial.

Finalidades de seguridad y autenticación:

• Realizar el tratamiento de datos sensibles, tales como huellas dactilares o cálculos derivados de éstas, fotografías, imágenes de video, datos de ubicación, información de dispositivos, direcciones IP, VPN, correos electrónicos y números telefónicos, exclusivamente para:

• Procesos de autenticación, identificación y verificación de identidad.

• Implementación de firma electrónica o digital, en los términos de la Ley 527 de 1999 y las demás que la modifiquen o subroguen, para la firma de documentos y el envío de mensajes de datos.

• Verificación de la autenticidad de la autorización otorgada.

• Brindar una capa adicional de seguridad para la protección del Titular y de la información.

El Titular no está obligado a autorizar el tratamiento de datos sensibles, salvo cuando sea estrictamente necesario para el cumplimiento de las finalidades descritas o cuando exista un deber legal.

Finalidades de transferencia, transmisión y cumplimiento normativo:

• Suministrar, transmitir o transferir datos personales, comerciales y financieros a:

• Entidades bancarias o financieras.

• Aliados comerciales.

• Proveedores tecnológicos, logísticos u operativos.

• Sociedades matrices, filiales, accionistas o vinculados económicos de la compañía.

• Realizar actividades de control, prevención y detección del fraude.

• Dar cumplimiento a obligaciones legales y regulatorias, incluyendo la prevención y control de actividades ilícitas como lavado de activos, financiación del terrorismo, soborno transnacional y demás delitos asociados a la corrupción.

• En todo caso, cuando La Empresa transmita los datos a uno o varios encargados ubicados en Colombia o en el exterior, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará el alcance del tratamiento, las actividades que realizará el encargado por cuenta del responsable y las obligaciones del encargado con respecto del tratamiento y los titulares de la información así como del responsable.

• En caso de transferencia, La Empresa cumplirá con las obligaciones estipuladas en la Ley 1581 de 2012 y el Decreto 1074 de 2015.

Finalidades aplicables a proveedores:

Los datos personales de los proveedores, contratistas y aliados estratégicos serán tratados para las siguientes finalidades:

Finalidades contractuales y operativas:

• Solicitar consultorías, auditorías, asesorías y servicios relacionados.

• Gestionar procesos de selección, vinculación, contratación y evaluación de proveedores.

• Administrar consultorías, auditorías, asesorías y servicios relacionados con el objeto social de la compañía.

• Realizar la gestión administrativa, operativa y contractual de la relación con proveedores.

• Gestionar la facturación, cuentas por pagar, cobros, pagos y demás obligaciones económicas y contables.

• Llevar a cabo la gestión económica, financiera y contable correspondiente.

Finalidades de seguridad y autenticación:

Realizar el tratamiento de datos sensibles, tales como huellas dactilares o cálculos derivados de estas, fotografías, imágenes de video, datos de ubicación, información de dispositivos, direcciones IP, VPN, correos electrónicos y números telefónicos, exclusivamente para:

• Procesos de autenticación, identificación y verificación de identidad.

• Implementación de firma electrónica o digital en los términos de la Ley 527 de 1999, para la firma de documentos y el envío de mensajes de datos.

• Verificación de la autenticidad de la autorización otorgada.

• Brindar una capa adicional de seguridad para la protección del Titular y de la información.

El Titular no está obligado a autorizar el tratamiento de datos sensibles, salvo cuando sea estrictamente necesario para el cumplimiento de las finalidades descritas o cuando exista un deber legal.

Finalidades de transferencia, transmisión y cumplimiento normativo:

• Suministrar, transmitir o transferir datos personales, comerciales y financieros a:

• Entidades bancarias o financieras.

• Aliados comerciales.

• Proveedores tecnológicos, logísticos u operativos.

• Sociedades matrices, filiales, accionistas o vinculados económicos de la compañía.

Lo anterior, exclusivamente para el cumplimiento de las finalidades aquí descritas, bajo los estándares legales de protección de datos.

• Realizar actividades de control, prevención y detección del fraude.

• Dar cumplimiento a obligaciones legales y regulatorias, incluyendo la prevención y control de actividades ilícitas como lavado de activos, financiación del terrorismo, soborno transnacional y demás delitos asociados a la corrupción.

Finalidades aplicables a empleados:

Finalidades contractuales y operativas:

• Gestionar sanciones, amonestaciones, llamados de atención y exclusiones.

• Solicitar consultorías, auditorías, asesorías y servicios relacionados.

• Gestionar procesos de selección, vinculación, contratación y evaluación de empleados. Revisión de procedimientos judiciales, formación de personal, gestión de nómina, prevención de riesgos laborales, investigación epidemiológica y actividades análogas, programas de promoción y prevención de enfermedades y gestión de pensiones, subsidios y otras prestaciones económicas de tipo laboral.

• Realizar la gestión administrativa, operativa y contractual de la relación con empleados.

• Gestionar la facturación, cuentas por pagar, cobros, pagos y demás obligaciones económicas y contables.

• Llevar a cabo la gestión económica, financiera y de nómina.

Finalidades de seguridad y autenticación:

• Realizar el tratamiento de datos sensibles, tales como historiales clínicos, huellas dactilares o cálculos derivados de estas, fotografías, imágenes de video, datos de ubicación, información de dispositivos, direcciones IP, VPN, correos electrónicos y números telefónicos, exclusivamente para:

• Procesos de autenticación, identificación y verificación de identidad.

• Implementación de firma electrónica o digital en los términos de la Ley 527 de 1999, para la firma de documentos y el envío de mensajes de datos.

• Verificación de la autenticidad de la autorización otorgada.

• Brindar una capa adicional de seguridad para la protección del Titular y de la información.

El Titular no está obligado a autorizar el tratamiento de datos sensibles, salvo cuando sea estrictamente necesario para el cumplimiento de las finalidades descritas o cuando exista un deber legal.

Finalidades de transferencia, transmisión y cumplimiento normativo:

• Suministrar, transmitir o transferir datos personales, comerciales y financieros a:

• Entidades bancarias o financieras.

• Aliados comerciales.

• Proveedores tecnológicos, logísticos u operativos.

• Sociedades matrices, filiales, accionistas o vinculados económicos de la compañía.

Lo anterior, exclusivamente para el cumplimiento de las finalidades aquí descritas, bajo los estándares legales de protección de datos.

• Realizar actividades de control, prevención y detección del fraude.

• Dar cumplimiento a obligaciones legales y regulatorias, incluyendo la prevención y control de actividades ilícitas como lavado de activos, financiación del terrorismo, soborno transnacional y demás delitos asociados a la corrupción.

Finalidades para uso de Inteligencia Artificial (IA):

Autorizo expresamente a la empresa para que utilice herramientas tecnológicas que incluyan inteligencia artificial (IA) en el tratamiento, análisis y segmentación de mis datos personales, comerciales y financieros. Esta tecnología podrá emplearse para: (i) mejorar mi experiencia en canales digitales; (ii) personalizar contenidos y recomendaciones; (iii) optimizar tiempos de respuesta y atención; (iv) detectar patrones de comportamiento que contribuyan a la prevención del fraude y otros riesgos operacionales; (v) comunicarse conmigo mediante voz o texto a través de los canales autorizados por la compañía. Entiendo que el uso de IA no implica decisiones automatizadas sin intervención humana, y que siempre podré ejercer mis derechos de acceso, corrección, supresión, oposición y revocatoria del consentimiento conforme a la normatividad vigente.

Tratamiento de datos financieros, crediticios y comerciales aplicables a los titulares:

De conformidad con lo dispuesto en la Ley 1266 de 2008, el Título V de la Circular Única de la Superintendencia de Industria y Comercio y demás normas concordantes, CASATORO identificada con NIT 830.004.993-8 en su calidad de Responsable del Tratamiento, informa al Titular que el tratamiento de sus datos personales de naturaleza financiera, crediticia, comercial y de servicios se realizará únicamente cuando exista autorización previa, expresa e informada, o cuando la ley así lo permita.

En este sentido, el Titular autorizará a la empresa para que, en los términos de la Ley 1266 de 2008, realice el tratamiento de los datos financieros, crediticios, comerciales y de servicios, para las siguientes finalidades:

Finalidades del tratamiento de datos financieros

• Procesar, consultar, reportar y actualizar la información del titular de los datos personales ante centrales de información financiera, crediticia y comercial, entidades financieras, entidades del sector real y demás operadores o usuarios de información legalmente autorizados, en Colombia o en el exterior, que administren bases de datos relacionadas con su historial crediticio.

• Solicitar, consultar y analizar, con fines estadísticos, de control, supervisión, información comercial y evaluación del riesgo, la información financiera, crediticia y comercial, en especial aquella relacionada con el cumplimiento o incumplimiento de obligaciones, estados de mora, acuerdos de pago y demás comportamientos relevantes para el análisis de riesgo.

• Verificar y validar la información suministrada a La Empresa, incluyendo referencias comerciales, personales, contractuales y financieras, con el fin de evaluar la viabilidad de establecer, mantener o finalizar una relación comercial o contractual.

• Gestionar procesos contractuales, precontractuales y post contractuales, incluyendo análisis de solvencia, capacidad de pago, administración de cartera, recuperación de obligaciones, conciliaciones, acuerdos de pago y cumplimiento de obligaciones legales.

• Dar cumplimiento a obligaciones legales y regulatorias, requerimientos de autoridades administrativas o judiciales y deberes de información previstos en la normativa vigente.

Responsable

En cumplimiento de lo dispuesto en la Constitución Política, la ley y las instrucciones impartidas por la Superintendencia de Industria y Comercio, CASATORO identificada con NIT 830.004.993-8 con domicilio principal en la ciudad de Bogotá D.C., en la Carrera 72 No. 170-97 en su condición de Responsable del Tratamiento de Datos Personales, informa de manera previa, expresa y suficiente a los Titulares lo siguiente:

Que los datos personales suministrados son recolectados, almacenados, usados, transmitidos y/o transferidos en estricto cumplimiento de las disposiciones constitucionales y legales vigentes, así como de las instrucciones impartidas por las autoridades competentes en materia de protección de datos personales, en especial la Superintendencia de Industria y Comercio.

Que La Empresa es la Responsable del Tratamiento de los datos personales, y como tal decide sobre la finalidad, contenido y uso de las bases de datos bajo su administración, de conformidad con su objeto social y las finalidades previamente informadas al Titular.

Que, para el cumplimiento de las finalidades del tratamiento, así como de obligaciones contractuales, legales y post contractuales, en determinados eventos puede ser necesario realizar transmisiones y/o transferencias nacionales o internacionales de datos personales, garantizando en todo caso el cumplimiento de los requisitos legales, la adopción de niveles adecuados de protección y las salvaguardas contractuales exigidas por la normativa vigente.

Que las respuestas a las preguntas que versen sobre datos personales sensibles son de carácter facultativo, por lo cual el Titular no se encuentra obligado a suministrarlos. En aquellos casos en que el Titular otorgue su autorización expresa para el tratamiento de este tipo de datos, dicho tratamiento se realizará exclusivamente para las finalidades legítimas, específicas y previamente informadas, y con observancia de los principios de seguridad, confidencialidad y protección reforzada previstos en la ley.

Que La Empresa tiene implementada la presente Política de Tratamiento de Datos Personales y su respectivo Aviso de Privacidad publicado en www.casatoro.com, los cuales contienen la información relativa a los derechos que le asisten al Titular, las finalidades del tratamiento, los canales de atención y los procedimientos para la formulación de consultas y reclamos, documentos que se encuentran disponibles para su consulta permanente a través de los canales dispuestos por la compañía. Que el Titular podrá ejercer en cualquier momento sus derechos de acceso, actualización, rectificación, supresión de los datos y revocatoria de la autorización, en los términos previstos en la ley y conforme a los procedimientos establecidos en la presente Política.

Para efectos de notificaciones y ejercicio de derechos relacionados con el tratamiento de datos personales, la Empresa ha dispuesto el siguiente canal de contacto:

Correo electrónico: seguridaddedatos@casatoro.com

La Empresa cuenta con un Encargado de Protección de Datos Personales, en los términos del artículo 2.2.2.25.4.4 del Decreto 1074 de 2015, responsable de verificar periódicamente el cumplimiento de la presente Política, así como de los procedimientos internos asociados al Tratamiento de Datos Personales en los distintos procesos de la organización.

Área responsable: Área de cumplimiento, Oficial de Protección de Datos Personales.

Así mismo, como teléfono de contacto se establece el (+57) 601 7460010 en la ciudad de Bogotá.

Encargado

El encargado del tratamiento en los términos del artículo 18 de la Ley 1581 de 2012 y en el evento en que La Empresa actúe como encargado, deberá cumplir los siguientes deberes:

• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley y en la presente política;

• Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

• Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley y en la presente política;

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

• Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la ley;

• Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

• Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

• Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.


Derechos del titular de los datos personales

De conformidad con la Constitución Política y la normativa vigente en materia de protección de datos personales, los Titulares de la información tienen los siguientes derechos:

• Conocer, actualizar y rectificar sus datos personales frente al Responsable o Encargado del Tratamiento, especialmente cuando estos sean parciales, inexactos, incompletos, fraccionados, induzcan a error o su tratamiento esté prohibido o no haya sido autorizado.

• Solicitar prueba de la autorización otorgada para el Tratamiento de sus datos personales, salvo en los casos en que dicha autorización no sea requerida por la ley.

• Ser informado, previa solicitud, respecto del uso que se ha dado a sus datos personales.

• Presentar consultas y reclamos relacionados con el Tratamiento de sus datos personales, en los términos establecidos en la ley.

• Solicitar la supresión de los datos personales y/o revocar la autorización, cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, siempre que no exista un deber legal o contractual que impida su eliminación.

• Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

• Para el ejercicio de sus derechos, el Titular podrá presentar consultas o reclamos a través del siguiente canal dispuesto por la Empresa: Correo electrónico: seguridaddedatos@casatoro.com

Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización:

Las consultas o reclamos podrán realizarse por:

• El titular de la información, quien deberá acreditar su identidad de forma suficiente a través de los medios que disponga La Empresa.

• Por los causahabientes, quienes deberán acreditar su identidad y su relación (o parentesco) con el titular de la información.

• Por el representante legal y/o apoderado del titular de la información, quien deberá acreditar el otorgamiento del mandato o de la representación.

Procedimiento para atender consultas:

Cuando se trate de consulta de información personal del titular, La Empresa resolverá la consulta en los términos del artículo 14 de la Ley 1581 de 2012.

La consulta de información personal del titular deberá contener como mínimo:

• Nombres y apellidos del titular de la información y/o su representante legal y/o su apoderado y/o causahabiente.

• La información que se pretende consultar.

• Datos de contacto tales como dirección física, dirección y/o correo electrónico, teléfono de contacto del titular, y/o su representante legal y/o su apoderado y/o causahabiente; deberá adjuntarse la documentación que acredite la condición en la que actúa.

En el evento en que la consulta de información no reúna los requisitos anteriormente descritos, La Empresa podrá solicitar al peticionario que dentro de los dos (2) días hábiles siguientes al requerimiento, aporte los documentos necesarios para acreditar la condición en la que actúa y la identidad del titular así como del solicitante, y en caso de que sea necesario, una ampliación sobre el objeto de la consulta.

Las consultas de los titulares serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta, dentro de dicho término, se informará al interesado antes del vencimiento del plazo, indicando los motivos de la demora y la fecha en que será atendida, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término, conforme a lo dispuesto por la ley.

Procedimiento para atender reclamos:

Cuando la solicitud incluya la corrección, actualización o supresión de datos personales, la revocatoria de la autorización o la advertencia de incumplimiento de los deberes de La Empresa como responsable, la petición se entenderá como reclamo en los términos del artículo 15 de la Ley 1581 de 2012.

Los reclamos deberán contener como mínimo:

• Nombres y apellidos del titular de la información y/o su representante legal y/o su apoderado y/o causahabiente.

• Lo que se pretende con la solicitud: corrección, actualización o supresión de datos personales, la revocatoria de la autorización.

• Datos de contacto tales como dirección física, dirección y/o correo electrónico, teléfono de contacto del titular, y/o su representante legal y/o su apoderado y/o causahabiente; deberá adjuntarse la documentación que acredite la condición en la que actúa.

En el evento en que el reclamo no reúna los requisitos anteriormente descritos, La Empresa podrá solicitar al peticionario que dentro de los cinco (5) días hábiles siguientes al requerimiento, aporte los documentos necesarios para acreditar la condición en la que actúa y la identidad del titular así como del solicitante, y en caso de que sea necesario, una ampliación sobre el objeto del reclamo.

Los reclamos de los titulares serán atendidas en un término máximo de quince (15) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta, dentro de dicho término, se informará al interesado antes del vencimiento del plazo, indicando los motivos de la demora y la fecha en que será atendida, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término, conforme a lo dispuesto por la ley.

Procedimiento de supresión de datos personales:

En el caso de solicitud de supresión de datos personales, La Empresa deberá efectuar la supresión de tal forma que no sea posible su recuperación. No obstante, el Titular, y/o su representante legal y/o su apoderado y/o causahabiente, deberán tener en cuenta que en algunos casos hay cierta información que debe mantenerse por cumplimiento de deberes y obligaciones a cargo de La Empresa, por lo que la supresión deberá guardar relación con la solicitud.

Seguridad de la información

En cumplimiento del Principio de Responsabilidad Demostrada, previsto en el artículo 2.2.2.25.6.1 del Decreto 1074 de 2015, La Empresa adopta, implementa y mantiene medidas técnicas, humanas y administrativas razonables, proporcionales y verificables, orientadas a garantizar el adecuado tratamiento de los datos personales bajo su responsabilidad.

En desarrollo de este principio, la Compañía no solo cumple formalmente con las disposiciones legales en materia de protección de datos personales, sino que está en capacidad de demostrar ante los titulares y ante la Superintendencia de Industria y Comercio la existencia, ejecución y efectividad de dichas medidas, de acuerdo con la naturaleza de los datos tratados, el tipo de tratamiento realizado y los riesgos asociados.

En particular, La Empresa adopta mecanismos destinados a:

• Prevenir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales almacenados en sus bases de datos.

• Garantizar la confidencialidad, integridad y disponibilidad de la información.

• Evaluar periódicamente los riesgos asociados al tratamiento de datos personales y ajustar las medidas de control cuando resulte necesario.

• Capacitar y sensibilizar al personal autorizado en materia de protección de datos personales.

• Implementar procedimientos internos para la atención de incidentes de seguridad y, cuando sea aplicable, para su notificación a la autoridad competente.

El acceso a la información personal se encuentra estrictamente restringido, de conformidad con los principios de seguridad, confidencialidad y acceso y circulación restringida, exclusivamente a las siguientes personas o entidades:

• Los Titulares de los datos personales, sus causahabientes o representantes legales debidamente acreditados.

• Las autoridades públicas o administrativas, en ejercicio de sus funciones legales o por orden judicial debidamente emitida.

• Los terceros debidamente autorizados por el Titular o por la ley, en los términos previstos en la normativa vigente.

El objeto de estas medidas son la revisión y actualización periódica, con el fin de asegurar su alineación permanente con la normativa aplicable, las instrucciones de la Superintendencia de Industria y Comercio y las mejores prácticas en la materia.