Políticas De Tratamiento de Datos Personales Outsourcing Libranza Este instructivo es de carácter CONFINDENCIAL y su objetivo es servir de herramienta de consulta para los canales de Outsourcing. Queda prohibida su venta y reproducción de forma parcial y/o total.

1 Objetivo Políticas de Tratamiento de Datos Personales Outsourcing Libranza 1 Objetivo El siguiente instructivo tiene como finalidad recordar las políticas, procesos y procedimientos que deben ser atendidos por las Empresas de Outsourcing de Libranza, para el tratamiento de información, en cumplimiento de lo previsto en la Ley 1581 de 2012 y la normatividad concordante relativa a la protección de datos personales.

2 Alcance Políticas de Tratamiento de Datos Personales Outsourcing Libranza 2 Alcance Las siguientes disposiciones están orientadas a lograr una protección efectiva del derecho constitucional de habeas data El Habeas Data es el derecho que tiene toda persona para conocer, actualizar y rectificar toda aquella información que se relacione con ella y que se recopile o almacene en centrales de información. Este derecho esta regulado por la ley 1266 de 2008.

Así mismo, se busca el cumplimiento a la Ley 1581 de 2012 la cual: Políticas de Tratamiento de Datos Personales Outsourcing Libranza Así mismo, se busca el cumplimiento a la Ley 1581 de 2012 la cual: Constituye el marco general de la protección de los datos personales en Colombia, la cual tiene por objetivo desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las información que se hayan recogido sobre ellas en bases de datos o archivos.

3 Definiciones Principales Políticas de Tratamiento de Datos Personales Outsourcing Libranza 3 Definiciones Principales Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales. Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento. Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Dato privado: es el dato que por su naturales íntima o reservada sólo es relevante para el titular. Es similar al dato sensible. Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, el número de cédula (artículo 213 del Código Electoral), a su profesión u oficio y a su calidad de comerciante o de servidor público. El tratamiento de estos datos se puede llevar a cabo sin la autorización previa del Titular, pero el Tratamiento a dichos datos se debe ceñir a los principios y deberes consagrados en la Ley 1581 de 2012.

3 Definiciones Principales Políticas de Tratamiento de Datos Personales Outsourcing Libranza 3 Definiciones Principales Dato semiprivado: es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere la ley 1266 de 2008. Dato sensible: aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del Tratamiento. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

Principios para el TDP¹ Políticas de Tratamiento de Datos Personales Outsourcing Libranza 4 Principios para el TDP¹ El tratamiento de Datos Personales que se desarrollen bajo la Ley 1581 de 2012, deben ser utilizados para la promoción, comercialización u ofrecimiento, de manera individual o conjunta, de los productos y/o servicios ofrecidos en alianza comercial, o para complementar, optimizar o profundizar el portafolio de productos y/o servicios actualmente ofrecidos, a través del canal de Outsourcing. Las empresas deben tener en cuenta los siguientes principios en el tratamiento adecuado de los datos personales: ¹TDP: tratamiento de datos personales

Principio de Transparencia Principio de Seguridad Políticas de Tratamiento de Datos Personales Outsourcing Libranza Sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, con excepción de la existencia de un mandato legal o judicial. Principio de Libertad Principio de Transparencia El titular de los datos personales que se encuentren en poder de las empresas, tendrá derecho a obtener información acerca de la existencia de sus datos. La información sujeta a tratamiento por el responsable o encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Principio de Seguridad

Políticas de Tratamiento de Datos Personales Outsourcing Libranza Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012 y en los términos de la misma. Principio de Confidencialidad Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, informadas al titular. En tal sentido, deben ser adecuados, pertinentes y acordes con las finalidades para los cuales fueron recolectados. Principio de Necesidad y Proporcionalidad

Responsable del Tratamiento Políticas de Tratamiento de Datos Personales Outsourcing Libranza 5 Deberes del Responsable y Encargado del Tratamiento de Datos Personales Garantizar al Titular, el pleno y efectivo ejercicio del derecho de hábeas data. Solicitar y conservar, en cualquier medio, copia de la autorización otorgada por el Titular cuando esta sea requerida. Informar al Titular sobre la finalidad de la recolección y sus derechos. Conservar la información bajo las condiciones de seguridad necesarias para impedir adulteración, pérdida, consulta, uso o acceso no autorizados o fraudulento. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos. Responsable del Tratamiento

Encargado del Tratamiento Políticas de Tratamiento de Datos Personales Outsourcing Libranza 5 Deberes del Responsable y Encargado del Tratamiento de Datos Personales³ Garantizar al Titular, el pleno y efectivo ejercicio del derecho de hábeas data. Conservar la información bajo las condiciones de seguridad que propendan por evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Realizar la actualización, rectificación o supresión de los Datos Personales que tenga a su cargo. Tramitar las consultas y reclamos formulados por los Titulares. Permitir el acceso a la información únicamente a las personas que puedan tener acceso a ella. Encargado del Tratamiento

Autorización para el Tratamiento de Datos Personales Políticas de Tratamiento de Datos Personales Outsourcing Libranza 6 Autorización para el Tratamiento de Datos Personales El OUTSOURCING solicitará al titular la autorización para el tratamiento de sus datos personales, a más tardar en el momento de recolección de sus datos, de igual manera informará los datos personales que serán recolectados así como las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento. En la siguiente diapositiva se envía el guión para llamadas telefónicas que se debe utilizar para solicitar la autorización correspondiente. Esta disposición es obligatoria y de estricto cumplimiento por parte de todas las empresas de outsourcing, en su calidad de responsables del tratamiento de datos.

Políticas de Tratamiento de Datos Personales Outsourcing Libranza Guión para Llamadas Telefónicas Introducción de la Llamada Sr@ XXXXX, mucho gusto y gracias por su atención, habla con XXXX Ejecutivo Comercial de GESTION & FINANZAS DE OCCIDENTE SAS, outsourcing autorizado por Banco de Occidente. Por su seguridad esta llamada está siendo grabada y monitoreada para garantizar la calidad en el servicio. Antes de continuar, solicitamos de su autorización para el suministro y envío de información comercial, financiera de productos y servicios a su terminal móvil, correo electrónico y/o cualquier otro mecanismo de contacto. ¿Está de acuerdo?. SI ó NO (Si el cliente responde SI continuar con el ofrecimiento comercial, de lo contrario termine la llamada)

Políticas de Tratamiento de Datos Personales Outsourcing Libranza Guión para Llamadas Telefónicas Autorización para Consulta en Centrales de Riesgo (PEC) Sr@ XXXXX, con el fin de agilizar el proceso de trámite, confirmamos a través de la grabación de esta llamada, que usted nos autoriza de manera expresa e irrevocable la consulta, reporte y procesamiento de los datos crediticios, financieros, comerciales y de servicios en las centrales de riesgo de información: ¿Nos autoriza adelantar el primer filtro de la verificación en centrales de riesgo? SI NO •¿Por favor me confirma nombre completo tal cual, aparece en su cédula? •¿Por favor me confirma su número de identificación? Sr@ XXXXXX, •¿Le gustaría enviarnos la autorización por medio electrónico o físico? •Con la recolección de documentos, estaremos enviando la autorización dentro del formulario de vinculación. ¿En qué momento del día de mañana lo podemos visitar?

Autorización para el Tratamiento de Datos Personales- Eventos, rifas. Políticas de Tratamiento de Datos Personales Outsourcing Libranza 7 Autorización para el Tratamiento de Datos Personales- Eventos, rifas. El OUTSOURCING solicitará al titular la autorización para el tratamiento de sus datos personales, a más tardar en el momento de recolección de sus datos, de igual manera informará los datos personales que serán recolectados así como las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.

Recuerda: Políticas de Tratamiento de Datos Personales Outsourcing Libranza Recuerda: Dentro del contrato celebrado con el BANCO las cláusulas que mencionan sobre el tratamiento de los datos personales son las siguientes: CLAUSULA: Protección de datos personales Las partes declaran conocer y aceptar que en el evento que se realice tratamiento de datos personales de cualquier titular del dato, ambas partes cumplirán con la normatividad vigente en materia de habeas data y protección de datos personales.