KCP DYNAMICS BOGOTA SL

Política de Tratamiento de datos personales

I. Consideraciones generales

Esta política de tratamiento de datos se basa en el artículo 15 de la Constitución Política de Colombia, que consagra el derecho de las personas a conocer, actualizar y rectificar los datos personales que existan sobre ellas en los bancos de datos o archivos de entidades públicas o privadas. Igualmente, ordena a quienes tienen datos personales de terceros respetar los derechos y garantías constitucionales, aplicables a la recolección, tratamiento y circulación de este tipo de información.

En consonancia con lo anterior, la Ley Estatutaria 1581 de 2012 establece las condiciones mínimas para realizar el tratamiento legítimo de los datos personales de los clientes, empleados y cualquier otra persona natural. Allí se señala que los responsables y encargados del tratamiento de datos personales deben “adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos”.

Según dicha Ley, las políticas de tratamiento de datos son de obligatorio cumplimiento, razón por la cual su desconocimiento implica sanciones. Dichas políticas no pueden garantizar un nivel de tratamiento inferior al establecido en la mencionada Ley.-

A su turno, el Decreto 1377 de 2013 reglamenta algunos aspectos referentes al contenido y los requisitos de las Políticas de Tratamiento de Información y los Avisos de Privacidad.

Se toma en cuenta también bases normativas ,Circular externa No 02 del 3 de noviembre de 2015 y el capítulo 25 artículo 2.2.2.25.3.2. del Decreto Único Reglamentario 1074 de 2015 y jurisprudenciales , Sentencias de la Corte Constitucional C – 1011 de 2008, y C – 748 del 2011.

KCP – está comprometido con el respeto de los derechos de sus clientes, proveedores, empleados y terceros en general. Por eso, adopta la siguiente política de tratamiento de datos personales, la cual es de obligatoria aplicación en todas las actividades que involucren el tratamiento de datos personales.

II. Obligatoriedad :

Estas políticas KCP de todos los empleados de KCP los contratistas y terceros que obran en nombre o por cuenta de KCP todos ellos deben observar y respetar estas políticas en el cumplimiento de sus funciones. En los casos en que no exista vínculo laboral, se deberá incluir una cláusula contractual, para que quienes obren en nombre o por cuenta de KCP de manera que el cumplimiento de estas políticas sea obligatorio. En todo caso, KCP pone estas políticas a disposición y conocimiento de dichas personas, en los sistemas de información de KCP las cuales se presumen conocidas y aceptadas por aquellos que pudieren actuar o actuaren como empleados o contratistas KCP o en nombre o por cuenta de esta última.

El incumplimiento de las referidas políticas originará sanciones de tipo laboral o responsabilidad contractual según el caso. Lo anterior, sin perjuicio del deber de responder patrimonialmente por los daños y perjuicios que se causen a los titulares de los datos o a KCP.-, con ocasión del incumplimiento de estas políticas o del indebido tratamiento de datos personales.

III. Definiciones

Para efectos de estas Políticas de Tratamiento y de otras finalidades legales y contractuales, se establecen las siguientes definiciones:

Administrador: Es el funcionario gestor y encargado de la información, designado por KCP. – Gerente General, quien lidera todas las acciones relacionadas con como canal de interlocución entre trabajadores, proveedores, contratistas, clientes y datos de clientes de clientes, etc sobre los productos o servicios desarrollados por KCP y que tengan que ver con el tratamiento de datos personales

Autorización: Consentimiento previo, expreso e informado del titular del dato para llevar a cabo el tratamiento.

Aviso de Privacidad: El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato conocido o por conocer, que es puesto a disposición del Titular para el tratamiento de sus datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.

• Base de datos: Es el conjunto organizado de datos que sea objeto de tratamiento.

Consulta: solicitud del titular del dato o las personas autorizadas por éste o por la Ley para conocer la información que reposa sobre ella en bases de datos o archivos.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, incluyendo también en estas su imagen y datos biométricos a su vez los que estén dentro de los alcances y limitaciones de la Ley, incluye cualquier información vinculada o que pueda asociarse a un cliente de KCP o a una o varias personas naturales determinadas o determinables, correspondientes al personal de dicho cliente.

Estos datos personales se clasifican en sensibles, públicos, privados y semiprivados.

– Dato personal sensible: Información que afecta la intimidad de la persona o cuyo uso indebido puede generar su discriminación. Se trata de información que revele el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garantice los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos (huellas dactilares, entre otros);

– Dato personal público: Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política, y todos aquellos que no sean semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, registros públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva, los relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Son públicos los datos personales existentes en el registro mercantil de las Cámaras de Comercio. Estos datos pueden ser obtenidos y ofrecidos sin reserva alguna y sin importar si hacen alusión a información general, privada o personal; y

– Dato personal privado. Es el dato que, por su naturaleza íntima o reservada, sólo es relevante para la persona titular del dato. Ejemplos: libros de los comerciantes, documentos privados, información extraída a partir de la inspección del domicilio.

– Dato personal semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general. Este tipo de datos incluye el dato referente al cumplimiento e incumplimiento de las obligaciones financieras o los datos relativos a las relaciones con las entidades de la seguridad social.

• Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del KCP y sus clientes, el Administrador será encargado de tratamiento de datos.

Personal: En general, se trata de los empleados o trabajadores vinculados, a KCP.-. Para efectos de algunas obligaciones legales y contractuales, el personal también puede abarcar a los consultores, asesores y demás personas o terceros que, por razón de sus competencias profesionales y su vínculo con un cliente, proveedor o aliado de KCP deban necesaria e indudablemente conocer la información correspondiente a los servicios de KCP

Productos: Son los productos, servicios, herramientas o entregables que KCP.- pone a disposición de un cliente.

Reclamo: solicitud del titular del dato o las personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus datos personales.

• Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos. Dicha persona decide sobre la recolección y fines de tratamiento de datos , KCP puede ser responsable del tratamiento de la información. De otra parte, al vincularse con KCP un cliente acepta expresamente la posibilidad de que KCP a su discreción, pueda ser responsable del tratamiento de la información, al desarrollar sus distintos productos o sus líneas de negocios frente a terceros.

Servicios: Corresponden al objeto de un contrato entre KCP y un cliente, y se concretan o materializan en los respectivos productos, ofrecidos por KCP que escoge el cliente.

Sistema de información: Se entenderá todo sistema utilizado para generar, enviar, recibir, transmitir, archivar, presentar o procesar de alguna otra forma datos o mensajes de datos.

Titular del dato: Es la persona natural a que se refieren los datos.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales como, entre otros, la recolección, el almacenamiento, el uso, la circulación o supresión de esa clase de información.

• Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro (transmisión nacional) o fuera de Colombia (transmisión internacional) y que tiene por objeto la realización de un tratamiento por el encargado por cuenta del responsable. Se puede instrumentar en un acuerdo o contrato, suscrito entre KCP- y un cliente, para el tratamiento de los datos, el cual forma parte integral del respectivo contrato principal.

• Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país

• Seguridad informática y tecnológica : Herramienta para protección y salvaguarda de la información confidencial y privada por protocolos su sistemas informáticos.

IV. Principios para el tratamiento de datos personales

A continuación, se formulan los principios aplicables a las Políticas de Tratamiento de Datos de KCP Los empleados, contratistas, clientes, proveedores y aliados de KCP entre otros, deben acoger las Políticas y, por ende, los principios, al vincularse, a cualquier título, con KCP

➢ Sobre la recolección de datos personales

• Principio de libertad: Salvo norma legal en contrario, la recolección de los datos sólo puede ejercerse con la autorización previa, expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin el previo consentimiento del titular, o en ausencia de mandato legal o judicial que releve el consentimiento. El titular debe ser informado, de manera previa, clara y suficiente, acerca de la finalidad de la información suministrada, razón por la cual no se podrá recopilar datos sin clara explicación o especificación sobre la finalidad de dicho ejercicio. El principio de libertad debe observarse tanto para el caso de los datos que se recolectan a través de formatos como los que forman parte de los anexos o documentos que entregan los titulares de los datos a KCP

• Principio de limitación de la recolección: Sólo deben recolectarse los datos personales que sean estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo del tratamiento. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Así, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.

➢ Sobre el uso de datos personales:

• Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. Se deberá informar al titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada y, por tanto, no podrán recopilarse datos sin una finalidad específica.

Los datos deben ser tratados según los usos autorizados. Si, con el tiempo, el uso de los datos personales cambia a formas que la persona razonablemente no espera, es necesario obtener nuevamente el consentimiento previo del titular. En todo caso, y dada la naturaleza de la actividad empresarial de KCP es entendido que todo proveedor, cliente o aliado de KCP – reconoce y acepta, desde el momento mismo de la vinculación con KCP que el uso de datos puede tener distintas finalidades legítimas, como lo son las estadísticas y científicas entre otras. En tal sentido, dicho cliente, proveedor o aliado de KCP garantiza que su personal tenga pleno e íntegro conocimiento de esta circunstancia, y le comunicará inmediatamente a KCP cualquier inconveniente o dificultad derivado de esta situación.

• Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir la finalidad del tratamiento y las exigencias legales o instrucciones de las autoridades de vigilancia y control u otras autoridades competentes. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Para determinar el término del tratamiento se considerarán las normas aplicables a cada finalidad y los aspectos administrativos, contables, fiscales KCP podrán regular o contemplar esta circunstancia referente a la temporalidad. Sin perjuicio del uso legítimo de na vez cumplida la o las finalidades, se procederá a la supresión de los datos.

• Principio de no discriminación: Queda prohibido realizar cualquier acto de discriminación por las informaciones recaudadas en las bases de datos o archivos.

• Principio de reparación: De conformidad con la Ley, y sin perjuicio del derecho de defensa que le asista a cualquier persona natural o jurídica, es obligación indemnizar los perjuicios causados por las posibles fallas en el tratamiento de datos personales.

➢ Sobre la calidad de la información :

• Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Se deberán adoptar medidas razonables para asegurar que los datos sean precisos y suficientes y, cuando así lo solicite el titular o cuando KCP lo determine, sean actualizados, rectificados o suprimidos cuando sea procedente. Es entendido que KCP – al desarrollar su actividad comercial y, en últimas, al prestar sus servicios a los clientes, se basa en la confianza legítima respecto de la veracidad, completitud, exactitud, actualización, carácter comprobable y comprensible de la información. Adicionalmente, es entendido que, para algunos usos o modalidades del producto o servicio, podría haber información veraz que no se presente en su integralidad, precisamente debido al uso o modalidad inherente al producto o servicio.

➢ Sobre la protección, el acceso y circulación de datos personales

• Principio de seguridad: Cada persona vinculada con KCP –deberá garantizar, mediante las medidas técnicas, humanas y administrativas que sean oportunas, idóneas, pertinentes y eficaces, la seguridad de los datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Lo anterior, sin perjuicio de los canales de comunicación o interlocución, establecidos entre KCP y sus clientes, tendientes a hacer efectivo este principio de manera ordenada y eficiente.

• Principio de acceso restringido: Sólo se permitirá acceso a los datos personales a las siguientes personas: (i) Al titular del dato; (ii) A las personas autorizadas por el titular del dato; (iii) A las personas que, por mandato legal u orden judicial, sean autorizadas para conocer la información del titular del dato. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente Ley.

• Principio de circulación restringida: Sólo se puede enviar o suministrar los datos personales a las siguientes personas: (i) Al titular del dato; (ii) A las personas autorizadas por el titular del dato; (iii) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial. En este último caso, según la jurisprudencia constitucional, la entidad pública o administrativa deberá justificar su solicitud indicando el vínculo entre la necesidad de obtener el dato y el cumplimiento de sus funciones constitucionales o legales. Posteriormente, con la entrega de la información, se le informará a la entidad pública o administrativa que debe cumplir los deberes y obligaciones que le impone la Ley 1581 de 2012 como responsable del tratamiento. La entidad administrativa receptora debe cumplir con las obligaciones de protección y garantía que se derivan de la citada Ley, en especial, la observancia de los principios de finalidad, uso legítimo, circulación restringida, confidencialidad y seguridad.

• Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley. Esta circunstancia podrá ser regulada o contemplada en los contratos suscritos por KCP Tratamiento al cual serán sometidos los datos personales y la finalidad del mismo.

• Principio de responsabilidad demostrada o accountabillity : Implica que el responsable del tratamiento de datos personales está llamado a responder por la inobservancia de los mencionados principios, pues es quien decide respecto del uso procesamiento de los datos personales recolectados, por lo que no puede escindir de su responsabilidad en el caso de que el tratamiento este efectuado por un encargado y/o tercero.

V. Tratamiento al cual serán sometidos los datos personales y la finalidad del mismo

KCP recolectará, usará y tratará los datos personales de manera leal y lícita para cumplir las actividades propias de su giro empresarial u objeto social principal sea con el suministro de desarrollos tecnológicos tales como licenciamiento e implementación de software bajo los diferentes tipos de modelos de distribución , mantenimiento y soporte de los mismos, así como capacitaciones sobre los modelos tecnológicos suministrados a clientes y así mismo podrá administrar dichos datos con el propósito de poder utilizarlos con fines de llevar acabo pruebas en desarrollos tecnológicos, estadísticos o metodológicos.

KCP también podrá tratar los datos personales para los siguientes fines: (a) Desarrollar el objeto de sus contratos, según los productos contratados por un cliente; b) Contribuir a la mayor productividad de un cliente y de su talento humano, a partir de los productos contratados por este último; c) En tal sentido, ofrecer al cliente la información, materializada en los productos contratados, que le sirva a este último para analizar, hacer seguimiento y tomar las decisiones de mejoramiento de la productividad y la gestión del talento humano de su empresa; d) Efectuar las gestiones pertinentes referentes a las etapas precontractual, contractual y post- contractual con el cliente, respecto de cualquiera de los productos ofrecidos, así como dar cumplimiento a la ley colombiana o extranjera y a las órdenes de autoridades judiciales o administrativas; e) Realizar invitaciones a eventos, mejorar productos y servicios u ofrecer nuevos productos, y todas aquellas actividades asociadas a la relación comercial o vínculo existente con el cliente; f) Dar a conocer, transferir y/o transmitir datos personales dentro y fuera del país a las compañías afiliadas o parte de la organización empresarial del cliente o a terceros como consecuencia de un contrato, ley o vínculo lícito que así lo requiera o para implementar servicios de computación en la nube; y g) Desarrollar nuevos productos o líneas de negocios frente a terceros, con fines históricos o estadísticos, y de manera impersonal o con anonimidad de sus titulares, sin perjuicio de otras modalidades de tratamiento ajustadas a los límites constitucionales y legales aplicables. Este posible uso, por parte de KCP- incluye actividades de mercadeo, estadística, informes comparativos y sectoriales, benchmarking empresarial, análisis de mercados, análisis de comportamiento empresarial y de consumo, y asesoría, entre otros. Así mismo, es entendido que este uso podría involucrar a KCP como responsable del tratamiento de información, y no solamente como encargada. Esta modalidad de uso tendrá lugar durante la vigencia del respectivo contrato que suscriba KCP incluyendo sus posibles prórrogas, si las hubiere- y un período adicional estimado de diez (10) años, situación que quedará o no plasmada en el respectivo contrato; h) Gestionar trámites (i.e. solicitudes, quejas, reclamos), y efectuar encuestas de satisfacción respecto de los productos de KCP –; i) Con el fin de recolectar datos de sus trabajadores , contratistas con el fin de gestionar y desarrollar la política de talento humano de la compañía, j)Dar a conocer, transferir y/o trasmitir datos personales dentro y fuera del país a terceros como consecuencia de un contrato, de la Ley o de un vínculo lícito que así lo requiera. K) Con cuando tenga la calidad de encargado y administrador de datos conforme a acuerdos de transferencia de tecnología.

VI. Derechos de los titulares de los datos

Las personas obligadas a cumplir estas políticas, deben respetar y garantizar los siguientes derechos de los titulares de los datos:

• Conocer, actualizar y rectificar los datos personales. Este derecho podrá ejercerlo frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado. Para el efecto, es necesario establecer previamente la identificación de la persona para evitar que terceros no autorizados accedan a los datos del titular del dato

• Obtener prueba de la autorización; ya sea por que KCP lo requirió en un primer momento para su tratamiento o porque un cliente o tercero ha solicitado y cuente con dicha autorización caso en el cual se proporcionara el acuerdo de transferencia de datos correspondiente.

• Ser informado sobre el uso que KCP ha dado a los datos personales del titular o del que su cliente le ha dado en virtud de haber proporcionado por KCP las herramientas tecnológicas respectivas.

• Dar trámite a las consultas y reclamos siguiendo las pautas establecidas en la Ley y en estas Políticas;

• Acceder a la solicitud de revocatoria de la autorización y/o supresión del dato personal cuando la autoridad competente haya determinado que en el tratamiento, por parte de KCP se ha incurrido en conductas contrarias a la Ley. El titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la base de datos o archivo del responsable o encargado. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos del responsable o encargado. Dicha improcedencia ocurre, por ejemplo, (i) cuando la eliminación de datos personales obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas, o (ii) cuando los datos personales sean necesarios para proteger los intereses jurídicamente tutelados del titular, para realizar una acción en función del el titular. Al suscribirse un contrato entre KCP y un cliente, es entendido que el deber de permanecer en la base de datos del responsable o encargado, resulta fundamental para el cumplimiento de las expectativas contractuales de las partes contratantes, y que dicha permanencia se podría extender por un período posterior a la terminación del respectivo contrato, siempre que se respeten las disposiciones constitucionales y legales;

• Acceder en forma gratuita a sus datos personales. La información solicitada por el titular podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos; y

• Los derechos de los titulares, podrán ejercerse por las siguientes personas: a) Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que ponga a disposición KCP.-; b) Por sus causahabientes, quienes deberán acreditar tal calidad; c) Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento; d) Por estipulación a favor de otro o para otro. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

• Los derechos de los titulares de los datos en los cuales sean administrados por medio de las herramientas tecnologicas que suministre KCP a sus clientes deberan ser tratados conforme a la politicas de tratamiento de datos que le suministren o tengan los clientes de KCP, en el caso contrario KCP para tener responsabilidad en el tratamiento de datos debe ser catalogado por el cliente como un encargado y que se haya celebrardo con el cliente un acuedo de transferencia de datos .

VII. Deberes de KCP.-cuando obra como responsable del tratamiento de datos personales

Todos los obligados a cumplir esta política deben tener presente que KCP debe cumplir deberes impuestos por la Ley. Por ende, deben obrar de tal forma que cumplan las siguientes obligaciones:

➢ Deberes de KCP.-respecto del titular del dato

• Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular;
• Informar de manera clara y suficiente, por sí misma o por intermedio de su respectivo cliente, al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir, conocer, actualizar o rectificar sus datos personales tanto de terceros como de empleados o contratistas de la empresa en el que su tratamiento se lleve acabo por el uso de herramientas tecnológicas o por medios físicos o tradicionales.
• Informar a solicitud del titular sobre el uso dado a sus datos personales; y
• Tramitar las consultas y reclamos formulados en los términos señalados en la presente política.
• Suministrar a los titulares de los datos los procesos y formas de acceso o procedimientos para poder ejercer sus derechos

Deberes de KCP respecto de la calidad, seguridad y confidencialidad de los datos personales

• Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en esta política;
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
• Actualizar la información cuando sea necesario; y
• Rectificar los datos personales cuando ello sea procedente.
• KCP tiene el deber y responsabilidad de adoptar las medidas de seguridad informática y tecnológica necesarias para dar tratamiento de datos personales de terceros que proporcionen los clientes en el caso estricto que estos realicen procesos de transferencias de datos como encargado de la información .
• KCP podrá adoptar herramientas de sistemas de procesamiento de datos de inteligencia artificial como el machine learning o deep learning para la custodia, almacenamiento y administración de datos que recolecte KCP o clientes para lo cual deberá adoptar las medidas de seguridad necesarias para su confidencialidad y reserva

➢ Deberes de KCP cuando realiza el tratamiento a través de un encargado:

• Suministrar al encargado del tratamiento únicamente los datos personales cuyo tratamiento esté previamente autorizado. Cuando se trate de transmisiones nacionales e internacionales se deberá suscribir un contrato de transmisión de datos personales o pactar cláusulas contractuales que contengan las previsiones exigidas por la Ley;
• Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
• Comunicar de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y a este se mantenga actualizada;
• Informar de manera oportuna al encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes;
• Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular;
• Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

➢ Deberes de KCP respecto de la Superintendencia de Industria y Comercio

• Informarle las eventuales violaciones a los códigos de seguridad y existencia de riesgos en la administración de la información de los titulares; y

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

• Registrar y actualizar cuando de lugar normativamente el Registro nacional de bases de datos así como la presente política de tratamiento de datos

• Atender los requerimientos de la superintendencia sobre quejas , reclamos o denuncias presentadas.

VIII. Deberes de KCP cuando obra como encargado del tratamiento de datos personales.

Si KCP.-realiza el tratamiento de datos en nombre de otra entidad u organización que sea responsable del tratamiento, deberá cumplir los siguientes deberes:

• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
• Realizar oportunamente la actualización, rectificación o supresión de los datos;
• Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
• Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política;
• Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se establece en la presente política;

• Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

• En el caso que KCP como proveedor de servicios tecnológicos, Proporcione modelos de distribución de herramientas tecnológicas en modalidades tales como SaaS, IaaS,PaaS , el respectivo cliente deberá dar el respectivo acceso y los permisos necesarios para poder administrar y dar tratamiento a los datos personales que sean ingresados en dichas plataformas para esto se deberá celebrar el respectivo acuerdo de transferencia de datos correspondiente en el cual se delimite las responsabilidades de responsables y encargados en el almacenamiento, custodia y administración de datos personales.

• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
• Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la Ley para dicho efecto;
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares; y
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

IX. De la autorización

Los obligados a cumplir esta política deberán obtener, de parte del titular, su autorización previa, expresa e informada para recolectar y tratar sus datos personales. Esta obligación incluye también cuando los trabajadores o contratistas en su contrato u otrosí respectivo autorizan a tratar previa y expresamente sus datos personales entre ellos el derecho al uso de su imagen para asuntos corporativos y datos biométricos en KCP. La autorización NO es necesaria cuando se trate de datos de naturaleza pública, tratamiento de información para fines históricos, estadísticos o científicos en los cuales no se vincule la información a una persona específica y datos relacionados con el registro civil de las personas.

En un contrato suscrito entre KCP y un cliente, es entendido que el cliente, como responsable del tratamiento, suministra a KCP.- los datos personales contenidos en sus bases de datos o archivos, bajo el firme e inequívoco entendido de que dicho cliente –y KCP ha sido autorizado previa, expresamente y de manera informada, por las personas naturales, vinculadas a su organización, para el tratamiento de datos personales. La autorización dada por cada una de dichas personas, se debe impartir tras conocer la información relevante requerida para tales efectos, incluyendo el respectivo aviso de privacidad. Un cliente, para 16

efectos de contratar con KCP –, debe haberle informado, a dicho personal, los alcances del contrato respectivo y las finalidades para las cuales se hará el tratamiento de datos.

También se entiende que la autorización mencionada, incluye o abarca los datos sensibles del personal del cliente. Al suscribir un contrato con KCP el cliente manifiesta expresamente haber obtenido la autorización para el tratamiento de datos sensibles de su personal, (i) tras informarle a cada miembro del personal, en su condición de titular, que por tratarse de datos sensibles no estaba obligado a autorizar su tratamiento; (ii) tras informarle a cada miembro del personal, en su condición de titular, de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos objeto de tratamiento son sensibles y la finalidad del tratamiento; (iii) tras informarle a cada miembro del personal, en su condición de titular, el carácter facultativo de las respuestas que cada uno de ellos diesen a preguntas que versen sobre datos sensibles o referentes a niños, niñas o adolescentes (i.e. sus hijos); (iv) tras informarle a cada miembro del personal sus derechos como titulares de la información, consagrados en el artículo 8 de la Ley 1581 de 2012 y las disposiciones reglamentarias aplicables; y (v) tras informarle a su personal la identificación, teléfono y dirección física de quienes tratarán su información con ocasión del contrato.

En todo caso, es entendido que el tratamiento de datos sensibles o no, pertenecientes al personal del cliente, tiene carácter estadístico, histórico o científico, situación que el cliente también manifiesta haberle informado a cada miembro de su personal.

El consentimiento otorgado por el titular, se hará con cualquier medio que pueda ser objeto de consulta posterior.

Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento. Si el titular solicita copia de éstos, se deberá suministrárselos.

La autorización también podrá obtenerse a partir de conductas inequívocas del titular del dato, que permitan concluir, de manera razonable, que éste otorgó su consentimiento para el tratamiento de su información. Dicha (s) conducta (s) debe (n) ser muy clara (s) de manera que no admita (n) duda o equivocación sobre la voluntad de autorizar el tratamiento y el silencio del titular no podrá considerarse como una conducta inequívoca.

KCP proporcionara prueba de la autorizacion otorgada por el titular cuando actue en calidad de encargado de adminstrar , custodiar o almacenar un dato personal en sus desarrollos tecnólogicos como a su vez los contratos de transferencias de datos personales que sean celebrados en virtud de tener la calidad de encargados de dicho tratamiento.

➢ Autorización para tratamiento de datos sensibles

Cuando corresponda, y se trate de la recolección de datos sensibles, se deben cumplir los siguientes requisitos: a) La autorización debe ser explícita; b) Se debe informar al titular que no está obligado a autorizar el tratamiento de dicha información; c) Se debe informar de forma explícita y previa al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo

➢ Autorización de tratamiento de datos de niños, niñas y adolescentes (NNA)

Cuando se trate de la recolección y tratamiento de datos de niños, niñas y adolescentes se deben cumplir los siguientes requisitos: a) La autorización debe ser otorgada por personas que estén facultadas para representar los NNA. El representante de los NNA deberá garantizarles el derecho a ser escuchados y valorar su opinión del tratamiento teniendo en cuenta la madurez, autonomía y capacidad de los NNA para entender el asunto; b) Se debe informar que es facultativo responder preguntas sobre datos de los NNA; c) El tratamiento debe respetar el interés superior de los NNA y asegurar el respeto de sus derechos fundamentales. Se debe informar de forma explícita y previa cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.

Las personas obligadas al cumplimiento de esta política, deben identificar los datos sensibles y de los niños, niñas y adolescentes (NNA) que eventualmente recolecten o almacenen con miras a: (a) Implementar una responsabilidad reforzada en el tratamiento de estos datos, que se traduce en una exigencia mayor en términos de cumplimiento de los principios y los deberes; b) Aumentar los niveles de seguridad de esa información; c) Incrementar las restricciones de acceso y uso por parte del personal de KCP –y de terceros; y d) Tener presentes los requisitos legales y de esta política para su recolección.

X. Transferencia internacional de datos personales

Cuando se envíen o transfieran datos a otro país será necesario contar con la autorización del titular de la información que es objeto de transferencia. Salvo que la Ley diga lo contrario, es prerrequisito dicha autorización para efectuar la circulación internacional de datos. En este sentido, antes de enviar datos personales a responsables del tratamiento ubicados en otro país, los obligados de cumplir esta política deberán verificar que se cuenta con la autorización previa, expresa e inequívoca del titular que permita trasmitir sus datos personales. Al contratar con KCP se debe acreditar que esta autorización ha sido dada por los titulares.

XI. Transmisiones internacionales y nacionales de datos a encargados

Cuando KCP desee enviar o transmitir datos a uno o varios encargados ubicados dentro y fuera del territorio de la República de Colombia, deberá contar con las cláusulas contractuales o el acuerdo o contrato de transmisión de datos personales, donde se pacten (a) los alcances del tratamiento; b) las actividades que el encargado realizará en nombre o por cuenta de KCP -; c) las obligaciones que debe cumplir el encargado respecto del titular del dato y KCP d) la obligación del encargado de dar cumplimiento a las obligaciones del responsable observando la presente política; e) el deber del encargado de tratar los datos de acuerdo con la finalidad autorizada para el mismo y observando los principios establecidos en la Ley colombiana y la presente política; y f) la obligación del encargado de proteger adecuadamente los datos personales y las bases de datos, así como de guardar confidencialidad respecto del tratamiento de los datos transmitidos.

XII. Procedimientos para que los titulares puedan ejercer sus derechos

Los procedimientos para que los titulares de los datos puedan ejercer el derecho a conocer, actualizar, rectificar y suprimir información o revocar la autorización, se pueden activar o desarrollar por las personas legitimadas según el artículo 20 del decreto 1377 de 2013:

Todas las consultas y reclamos se canalizarán a través de los medios habilitados por KCPDYNAMICS a través de los correos electrónicos datospersonales@kcpdynamics.com y el teléfono (+57-1) 3162684835 en Bogotá, quien adoptará mecanismos de prueba de la radicación y trámite de los mismos.

Estas son las pautas para atender consultas y reclamos:

➢ Consultas

Todas las consultas que realicen las personas legitimadas para conocer los datos personales que reposen en KCP se tramitarán según los canales que tiene KCP En todo caso, es necesario dejar prueba de la fecha de recibo de la consulta y de la identidad del solicitante.

Una vez verificada la identidad del titular, se le suministrarán los datos personales requeridos. La respuesta a la consulta deberá comunicarse al solicitante en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual, en ningún caso, podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

➢ Reclamos.- procedimiento

Los reclamos tienen por objeto corregir, actualizar, o suprimir datos o elevar una queja por el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012 y en esta política.

El reclamo debe presentarse mediante solicitud dirigida a KCP Dicho reclamo debe contener la siguiente información: a) Nombre e identificación completa del titular del dato o la persona legitimada, con sus correspondientes soportes; b) Descripción precisa y completa de los hechos que dan lugar al reclamo, así como de los datos personales respecto de los cuales el titular busca ejercer alguno de sus derechos; c) Datos de contacto como dirección física y/o electrónica y teléfonos de contacto para remitir la respuesta e informar sobre el estado del trámite; y d) Documentos y demás pruebas pertinentes que quiera hacer valer.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Si el reclamo está completo, se incluirá en la base de datos o sistema de información una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Ésta deberá mantenerse hasta que el reclamo sea decidido.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Rectificación y actualización

KCP tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señaladas. Al respecto se tendrá en cuenta lo siguiente:

En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.

KCP, tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes.

KCP podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados en las páginas web.

➢ Persona o área responsable de la protección de datos personales

La Gerencia de KCPDYNAMICS es la persona o dependencia encargada de la función de protección de datos. Se puede contactar a través del email info@kcpdynamics.com o al teléfono 3162684835 en Bogotá.

XIII. Registro nacional de bases de datos:

KCP, se reserva, en los eventos contemplados en la ley y en sus estatutos y reglamentos internos, la facultad de mantener y catalogar determinada información que repose en sus bases o bancos de datos, como confidencial de acuerdo con las normas vigentes, sus estatutos y reglamentos. KCP procederá de acuerdo con la normatividad vigente y la reglamentación que para tal fin expida el Gobierno Nacional, a realizar el registro de sus bases de datos, ante El Registro Nacional de Bases de Datos (RNBD) que será administrado por la Superintendencia de Industria y Comercio. El RNBD., es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país; y que será de libre consulta para los ciudadanos, de acuerdo con la normatividad y reglamentación que en su momento para tal efecto expida el Gobierno Nacional.

XIV. MEDIDAS DE SEGURIDAD ADOPTADAS POR KCP PARA LA ADMINSITRACION , PROTECCION ,CUSTODIA DE DATOS PERSONALES

KCP tendrá dentro de su compañía herramientas físicas y tecnológicas en las que pueda prevenir amenazas y vulnerabilidades de información y privada confidencial tanto de la compañía como de terceros que han delegado y encargado a KCP de dicha custodia almacenamiento y tratamiento de datos; del mismo modo adoptara las politicas de seguridad informatica y tecnologica que sea pertinente con el propósito de adoptar procesos , procedimientos y protocolos y patrones de salvaguarda de la información y datos personales. KCP adoptara como empresa de desarrollo tecnológico la herramientas y medidas de seguridad necesarias cuando se adopten sistemas de procesamiento de datos de inteligencia artificial como el machine learning o deep learning para la custodia, almacenamiento y administración de datos que recolecte KCP o clientes.

XV. MODIFICACIONES A LA POLÍTICA DE TRATAMIENTO DE DATOS

KCP podrá modificar en cualquier momento los términos y condiciones de estas Políticas de tratamiento de datos. Cualquier cambio será efectivo apenas sea publicado en el Sitio web . Dependiendo de la naturaleza del cambio podremos anunciar el mismo a través de: (a) la página de inicio del Sitio web, o (b) un e-mail.

Vigencia : Por disposiciones legales, la Política rige a partir de enero de 2024 dejando sin vigencia políticas de tratamiento de datos anteriores .