Politicas

CÓDIGO: CS-GER-D-003 VERSIÓN: 004 DOCUMENTO CONTROLADO

Para lograrlo COSECAD LTDA. se compromete de manera permanente con la innovación en el conocimiento, utilización de metodologías antagónicas y la maximización del uso de la tecnología. Para ello nos mantendremos en la búsqueda de crecimiento constante a través de la optimización de los recursos físicos, financieros, técnicos y tecnológicos; con talento humano competente. Nos mantendremos atentos a atender peticiones, quejas y reclamos y todas las actividades que contribuyan al mejoramiento continuo de nuestros procesos.

Declaramos a su vez que la organización está comprometida en:

1. La prevención y control de riesgos de Prevención de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la proliferación de armas de destrucción masiva LA/FT/FP (SARLAFT).

2. La protección de datos.

3. El mantenimiento y la protección del medio ambiente.

4. El cumplimiento de los requisitos legales de Seguridad y Salud en el Trabajo.

5. La prevención del acoso laboral y sexual.

6. La protección de los Derechos Humanos y del Derechos Internacional Humanitario.

7. La divulgación y la socialización de todas las políticas, guías, instructivos y procedimientos que contribuyan al desarrollo eficiente y eficaz de los procesos.

V005

CÓDIGO: CS-GER-D-008 VERSIÓN: 003 DOCUMENTO CONTROLADO

1. INTRODUCCIÓN El presente documento se construye con base en las directrices y requisitos establecidos en la Ley 1581 de 2012, el Decreto Único Reglamentario 1074 de 2015, el Decreto 1377 de 2013, y demás normas y disposiciones que las adicionen, modifiquen, reglamenten, amplíen, complementen o supriman. La Ley 1581 de 2012 constituye el marco general de la protección de datos personales en Colombia. Este Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012. La finalidad de esta regulación es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política de Colombia.

2. OBJETO La Política de Tratamiento de la Información Personal establece el marco de actuación para el adecuado tratamiento de los datos personales de los titulares de COLOMBIAN SECURITY ACADEMY LTDA – COSECAD® LTDA., de tal forma que permite garantizar el derecho constitucional que tienen todas las personas a conocer, actualizar, rectificar y eliminar la información que se haya recolectado sobre ellas y, por ende, el adecuado tratamiento de su información personal.

3. ALCANCE La presente Política debe ser aplicada por COLOMBIAN SECURITY ACADEMY LTDA – en adelante COSECAD® LTDA. Asimismo, será aplicable a terceros vinculados, socios, colaboradores y proveedores que tengan algún tipo de vínculo jurídico o negocial con COSECAD® LTDA.

4. INFORMACIÓN DE LOS RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES A continuación, se detallará la información del responsable del tratamiento:

• NIT: 900.336.582-2.

• Dirección: Calle 73A No. 71D – 09, Bogotá D.C.

• Teléfono: +601 2247177 – +57 321 4099475 (Líneas de Atención al Cliente: Bogotá +601 2247177, Medellín +57 321 4631838, Cali +57 305 4455170, Cartagena +605 6452189 – 3187933341)

• E-mail: servicioalcliente@cosecad.com

5. DEFINICIONES Y CONCEPTOS Previo a dar inicio con la lectura, comprensión y entendimiento de la presente política, es necesario tener en cuenta los siguientes conceptos bases:

• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

• Aviso de privacidad: Comunicación dirigida a todos los titulares de datos personales mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales, que se publica en la página web de COSECAD® LTDA.

• Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

• Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por naturaleza los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

• Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.

• Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante para la persona titular del dato, como la información salarial, la información de contacto, la información académica, entre otros.

• Dato sensible: Aquel que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

    ◦ Datos Biométricos Faciales: Representaciones matemáticas de las características únicas del rostro del Estudiante utilizadas para su identificación inequívoca. Son considerados datos sensibles.

• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

• Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

• Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

• Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

• Beneficiario Final: La(s) persona(s) natural(es) que finalmente posee(n) o controla(n) directa o indirectamente a un cliente y/o a la persona natural en cuyo nombre se realiza una transacción.

• Debida Diligencia: El proceso mediante el cual la Empresa adopta medidas para el conocimiento de la Contraparte, de su negocio, operaciones, y Productos y el volumen de sus transacciones.

• Debida Diligencia Intensificada: El proceso mediante el cual la Empresa adopta medidas adicionales y con mayor intensidad para el conocimiento de la contraparte, de su negocio, operaciones, productos y el volumen de sus transacciones.

• Operación Sospechosa: Aquella operación que por su número, cantidad o características no se enmarca en el sistema y prácticas normales del negocio, de una industria o de un sector determinado y, además que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada.

• PEP (Personas Expuestas Políticamente): Servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, o personas que desempeñan funciones públicas prominentes y destacadas en otro país, entre otros.

• SARLAFT 2.0: Sistema de Administración de Riesgos de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva. Mecanismo que permite a las entidades prevenir la pérdida o daño por ser utilizadas como instrumento para dichas actividades delictivas.

• UIAF: Unidad de Información y Análisis Financiero, organismo de inteligencia económica y financiera que centraliza, sistematiza y analiza información para prevenir y detectar posibles operaciones de lavado de activos y financiación del terrorismo.

6. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES COSECAD® LTDA. aplica los siguientes principios rectores en el tratamiento de datos personales:

• Principio de legalidad: Al tratamiento de la información contenida en las Bases de Datos custodiadas por COSECAD® LTDA. le será aplicable en lo pertinente, lo establecido en la Ley 1581 de 2012, el Decreto 1074 de 2015 y las demás disposiciones que las adicionen, modifiquen, reglamenten, amplíen, complementen o supriman.

• Principio de finalidad: El tratamiento de la información contenida en las Bases de Datos custodiadas por COSECAD® LTDA. obedece a una finalidad legítima de acuerdo con la Constitución, la Ley y a los fines informados de forma previa al titular. La recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados.

• Principio de libertad: El tratamiento de la información contenida en las Bases de Datos custodiadas por COSECAD® LTDA. solo podrá ejercerse cuando se cuente con el consentimiento libre, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en ausencia de mandato legal o judicial que releve el consentimiento.

• Principio de veracidad o calidad: La información sujeta al Tratamiento por parte COSECAD® LTDA. será veraz, completa, exacta, actualizada, comprobable y comprensible. No serán objeto de Tratamiento datos parciales, incompletos, fraccionados o que induzcan al error. Se adoptarán medidas razonables para asegurar que los datos sean precisos y suficientes.

• Principio de transparencia: COSECAD® LTDA. garantiza el derecho que usted tiene de obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.

• Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el Tratamiento solo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley.

• Principio de seguridad: La información sujeta al Tratamiento por parte de COSECAD® LTDA., a que se refiere la Ley 1581 de 2012, se manejará con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Se implementarán medidas de seguridad razonables para proteger la confidencialidad e integridad de las imágenes capturadas.

• Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos, estarán obligados a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad que desarrolla el derecho al Habeas Data.

• Principio de temporalidad: El periodo de conservación de los Datos Personales será el necesario para alcanzar la finalidad para la cual se ha recolectado y/o mientras el titular tenga obligaciones pendientes, o por el tiempo adicional que exijan normas especiales o generales. Una vez cumplida la finalidad, los datos serán suprimidos o anonimizados, salvo que una obligación legal o contractual exija su conservación.

• Principio de responsabilidad demostrada (Accountability): Los responsables del Tratamiento deberán ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio (“SIC”), que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y Decreto 1074 del 2015.

7. TRATAMIENTOS Y FINALIDADES AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES COSECAD® LTDA. recolecta, almacena, usa, circula y suprime los datos personales de los diferentes titulares para ser tratados conforme a las siguientes finalidades:

7.1. CLIENTES; POTENCIALES CLIENTES; EXCLIENTES; TOMADORES; BENEFICIARIOS; USUARIOS y TERCEROS VINCULADOS

• Estudiar y atender las solicitudes de servicio o salud propio de cada compañía requeridas en cualquier tiempo.

• Ejercer su derecho a conocer al cliente/afiliado/usuario, según el caso con quien se propone entablar relaciones, prestar servicios, y valorar el riesgo presente o futuro de las mismas relaciones y servicios.

• Prestar los servicios que de las mismas solicitudes pudieran originarse y cumplir con las normas y jurisprudencia aplicable vigente.

• Atender las necesidades de servicio técnicas, operativas, de cobranza, de riesgo o de seguridad que pudieran ser razonablemente aplicables.

• Realizar consulta relacionada con aportes de seguridad social.

• Ofrecer conjunta o separadamente con terceros o a nombre de terceros, servicios comerciales, de seguridad social y conexos, así como realizar campañas de promoción, beneficencia o servicio social o en conjunto con terceros.

• Realizar actividades de marketing, mercadeo, publicidad, prospección y retención comercial relacionados con los productos y/o servicios de COSECAD® LTDA.

• Transferir y/o transmitir los Datos Personales dentro o fuera del país a las empresas vinculadas económicamente con COSECAD® LTDA. (filiales y subsidiarias), terceros, contratistas o aliados para que estas realicen el Tratamiento de los Datos Personales de conformidad con esta Política.

• Capturar imágenes y video del titular por sistemas de seguridad y videovigilancia.

• Capturar información relativa a la voz del titular, con el fin de asegurar la calidad y prestación del servicio.

• Adelantar trámites ante autoridades judiciales, administrativas y de vigilancia y control, o cualquiera que lo requiera.

• Recolectar datos personales de carácter sensible como el estado de salud, necesarios para la vinculación de servicios de COSECAD® LTDA., incluyendo servicios de Seguridad y Salud en el Trabajo (SST) como Educación, Capacitación y Diseño, administración y ejecución del Sistema de Gestión de la Seguridad y Salud en el Trabajo.

• Remitir información y comunicaciones de promoción y prevención relacionada a la administración de riesgos laborales.

• Cotizar servicios propios de COSECAD® LTDA.

• Generar encuestas de satisfacción sobre el servicio prestado.

• Cualquier otra finalidad que se encuentre directamente relacionada con el objeto social de COSECAD® LTDA., incluyendo las actividades de enseñanza, capacitación, entrenamiento y actualización de conocimientos relacionados con vigilancia y seguridad privada, conforme a la aprobación de su Proyecto Educativo Institucional en Vigilancia y Seguridad Privada (PEIS)

7.2. PROVEEDORES; TERCEROS; INTERMEDIARIOS; CONTRATISTAS y ALIADOS

• Estudiar y atender la(s) solicitud(es) de servicios requeridos por el titular en cualquier tiempo.

• Ejercer su derecho de conocer al proveedor o tercero, según el caso con quien se propone entablar relaciones, prestar servicios, y valorar el riesgo presente o futuro de las mismas relaciones y servicios.

• Prestar los servicios que de la(s) misma(s) solicitud(es) pudieran originarse y cumplir con las normas y jurisprudencia vigente aplicable.

• Registrar mi o la información del proveedor o tercero que represento en los sistemas de información o bases de datos de COSECAD® LTDA.

• Permitir comunicación con el proveedor, tercero o sus representantes, con el fin de enviar información de interés sobre el contrato u obligaciones adquiridas con COSECAD® LTDA.

• Realizar transmisión y/o transferencia nacional e internacional en caso de ser necesario, con el fin de poder prestar los servicios de carácter técnico, operativo, humano y tecnológico requeridos y/o solventar las solicitudes que el proveedor y/o tercero y la ley requiera.

• Dar cumplimiento a los requerimientos hechos por las autoridades, administrativas y judiciales en los tiempos estipulados.

• Realizar procesos de selección y registrarlos en categorías y/o clases de proveedores.

• Realizar el registro como proveedores en los sistemas contables e informáticos de COSECAD® LTDA. y realizar los pagos correspondientes a las obligaciones contraídas y llevar una relación histórica de los proveedores.

• Ejercer la supervisión, auditoría de los contratos; así como evaluar y calificar el desempeño de los proveedores y contratistas de la Organización.

• Vincular intermediarios, aliados y terceros asociados a la actividad aseguradora.

7.3. COLABORADORES; ASPIRANTES A COLABORADORES; APRENDICES; CONTRATISTAS y EXCOLABORADORES

• Selección de personal, estudio de hojas de vida, verificación de datos suministrados por el candidato, verificación de los contactos de referencias personales, familiares y/o comerciales.

• Realizar y verificar exámenes de salud de ingreso, periódicos y/o de egreso de COSECAD® LTDA.

• Realización de pruebas escritas y orales de selección, pruebas psicotécnicas y/o entrevistas.

• Permitir el ingreso a las instalaciones de la Organización y Llevar un control de acceso y garantizar la seguridad de personas y bienes.

• Tener registro de las actividades realizadas por la Organización, como capacitación, asistencia a eventos entre otros.

• Realizar actividades propias de la vinculación y aseguramiento de los colaboradores a las entidades del Sistema de Seguridad Social y Salud en Colombia.

• Mantener la seguridad y salud de los Titulares en el lugar de trabajo directamente por la Organización o por parte de un tercero, de conformidad con las normas aplicables.

• Evaluar desempeño de los colaboradores.

• Notificar a familiares de los Titulares en casos de emergencia durante el horario de trabajo o con ocasión del desarrollo del contrato.

• La comunicación, reproducción y publicación de fotografías y/o videos de los Titulares por parte de COSECAD® LTDA. para fines de mercadeo, publicitarios, en medios internos de la Organización o externos.

• Recolectar, procesar y almacenar información y evidencia con el fin de realizar procesos disciplinarios.

• Capturar imágenes y video del titular por sistemas de seguridad y videovigilancia.

• Capturar información relativa a la voz del titular, con el fin de asegurar la calidad y prestación del servicio.

• Las demás finalidades necesarias y que se presten en el entorno de la ejecución laboral o contractual a efectos de cumplir con el objeto y las obligaciones derivadas de la relación entre los Titulares y la Organización.

7.4. FINALIDADES ESPECÍFICAS DERIVADAS DEL CUMPLIMIENTO REGULATORIO Y OPERATIVO Además de las finalidades generales, COSECAD® LTDA. realiza el tratamiento de datos personales para:

• Implementación y Operación del Sistema de Administración de Riesgos de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (SARLAFT 2.0):

    ◦ Conocimiento de la Contraparte: Recolectar información de identificación (razón social, NIT, dirección, teléfono, representante legal, composición accionaria, socios mayoritarios), actividad económica, información financiera y patrimonial, cuentas bancarias y declaración de origen de bienes/fondos, tanto para personas jurídicas como naturales (nombre, tipo y número de documento de identificación, lugar y fecha de nacimiento)

    ◦ Debida Diligencia y Debida Diligencia Intensificada: Identificar a la Contraparte y verificar su identidad, identificar al Beneficiario Final y verificar su identidad, conocer la estructura de propiedad, entender el propósito de la relación comercial, y realizar monitoreo continuo de transacciones, incluyendo el origen de los fondos. Para PEP (Personas Expuestas Políticamente) se aplica Debida Diligencia Intensificada, requiriendo aprobación de jerarquía superior y establecimiento del origen de recursos.

    ◦ Gestión de Riesgos LA/FT/FP: Identificar factores de riesgo, medir o evaluar la probabilidad de ocurrencia e impacto, controlar el riesgo inherente mediante medidas razonables y herramientas de detección de operaciones inusuales/sospechosas, y monitorear continuamente el perfil de riesgo y la efectividad de los controles.

    ◦ Reportes a la Unidad de Información y Análisis Financiero (UIAF): Reportar todas las Operaciones Sospechosas (ROS) detectadas de manera inmediata a través del SIREL, y reportar la Ausencia de Reportes de Operaciones Sospechosas (AROS) si no hay operaciones sospechosas en el mes. También, reportar Transacciones en Efectivo individuales iguales o superiores a $10.000.000 COP y múltiples que superen $50.000.000 COP en un mes calendario, incluyendo transacciones internas.

    ◦ Consulta de Listas Vinculantes: Consultar permanentemente las Listas Vinculantes de personas y entidades asociadas con organizaciones terroristas, y reportar inmediatamente a la UIAF y Fiscalía General de la Nación cualquier bien/activo identificado a nombre de personas en dichas listas.

• Validación de Identidad en Exámenes y Actividades Académicas mediante Sistema de Reconocimiento Facial:

    ◦ Acceder a la cámara del dispositivo del Estudiante exclusivamente durante el examen o actividad académica para recopilar imágenes y/o secuencias de video del rostro.

    ◦ Generar y procesar Datos Biométricos Faciales (datos sensibles) para la identificación inequívoca del Estudiante.

    ◦ Validar la identidad del Estudiante durante la realización de exámenes y actividades académicas evaluables.

    ◦ Realizar comparaciones de los Datos Biométricos Faciales capturados en tiempo real con plantillas biométricas de referencia previamente registradas (si aplica y con consentimiento específico).

    ◦ Detectar y prevenir posibles casos de suplantación de identidad o fraude académico durante las evaluaciones.

    ◦ Generar registros de auditoría técnicos y de seguridad relacionados con la validación de identidad para fines de verificación, cumplimiento normativo y atención a requerimientos de autoridades competentes. Los Datos Biométricos Faciales no serán utilizados para ningún otro propósito que no esté expresamente establecido en estos Términos o en la Política de Tratamiento de Datos.

• Registro y Matrícula en Cursos y Servicios:

    ◦ Facilitar el proceso de registro para cursos y servicios, incluyendo la captura de una fotografía de perfil del rostro y fotografías del documento de identidad (cédula de ciudadanía) para fines de identificación, verificación y cumplimiento normativo asociado a la matrícula.

8. DEBERES DEL RESPONSABLE DEL TRATAMIENTO Los responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley de Protección Datos Personales y en otras que rijan su actividad:

• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

• Solicitar y conservar, en las condiciones previstas en la Ley de Protección Datos Personales, copia de la respectiva autorización otorgada por el titular; requerir dicha autorización a más tardar en el momento de la recolección de los datos, e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.

• Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Esto incluye asegurar la integridad, oportunidad, confiabilidad, seguridad, disponibilidad y no repudio de la información documentada del SARLAFT 2.0.

• Garantizar que la información que se suministre al encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

• Actualizar la información, comunicando de forma oportuna al encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

• Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del Tratamiento.

• Suministrar al encargado del Tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley de Datos Personales.

• Exigir al encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.

• Tramitar las consultas y reclamos formulados en los términos señalados en la Ley de Datos Personales.

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley de Protección Datos Personales y en especial, para la atención de consultas y reclamos. Este manual deberá incorporar el Código de Ética y Conducta LA/FT/FP y los procedimientos del SARLAFT 2.0.

• Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

• Informar a solicitud del titular sobre el uso dado a sus datos.

• Informar a la autoridad de protección de datos (SIC) cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

• Aprobar la Política LA/FT/FP, el Código de conducta LA/FT/FP y el SARLAFT 2.0. y sus actualizaciones.

• Asignar los recursos técnicos, logísticos y humanos necesarios para el SARLAFT 2.0.

9. DEBERES DEL ENCARGADO DEL TRATAMIENTO Los encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley de Protección Datos Personales y en otras que rijan su actividad:

• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.

• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley de Datos Personales.

• Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

• Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la Ley de Datos Personales.

• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley de Protección Datos Personales y, en especial, para la atención de consultas y reclamos por parte de los titulares.

• Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la Ley de Datos Personales.

• Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

• Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

• Nota: En el evento en que concurran las calidades de responsable del Tratamiento y encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.

10. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN COSECAD® LTDA., en cumplimiento de las disposiciones legales y constitucionales, garantiza el ejercicio de los siguientes derechos:

• Conocer, actualizar y rectificar sus datos personales frente a COSECAD® LTDA. quienes actúan como responsables del Tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

• Solicitar prueba de la autorización otorgada a COSECAD® LTDA., salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.

• Ser informado por COSECAD® LTDA., previa solicitud, respecto del Tratamiento que le da a sus Datos Personales.

• Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, cumpliendo para el efecto con el requisito de procedibilidad consistente en haber agotado el trámite de consulta y reclamo ante la Empresa.

• Revocar la Autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento COSECAD® LTDA. ha incurrido en conductas contrarias a la ley y a la Constitución. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos. Es importante señalar que la revocación del consentimiento para el uso del Sistema de reconocimiento facial puede implicar la imposibilidad de validar la identidad en exámenes o actividades académicas que lo requieran, afectando la participación o resultados en dichas evaluaciones.

• Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento. Se puede consultar de forma gratuita al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información.

• Abstenerse de responder preguntas o proporcionar información relacionada a sus Datos sensibles, sin que por esto se condicione alguna actividad o servicio, ya que el tratamiento de datos sensibles es facultativo.

Estos derechos podrán ser ejercidos únicamente por las siguientes personas:

• Por el Titular, quien deberá acreditar su identidad en forma suficiente.

• Por sus causahabientes, quienes deberán acreditar tal calidad.

• Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.

• Por estipulación a favor de otro o para otro.

• Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

11. CANALES DE ATENCIÓN PARA EL EJERCICIO DE LOS DERECHOS COSECAD® LTDA. tiene a su disposición los siguientes canales para garantizar el ejercicio de los derechos de los titulares de datos personales:

• Físico: En nuestra red nacional de oficinas, las cuales se pueden consultar en www.cosecad.com.

• Virtuales: Canal de Quejas, sugerencias, felicitaciones y denuncias por faltas a los derechos humanos en actividades desarrolladas por la academia en el siguiente link: https://forms.gle/wdEMJ9q9DgmbPvTG9. Para inconvenientes técnicos relacionados con la plataforma, se puede contactar a soportevirtual@cosecad.com o al WhatsApp +57 321 4099475.

• Líneas telefónicas: Líneas de Atención al Cliente: Teléfonos: +601 2247177 en Bogotá, Agencia Medellín COSECAD: +57 321 4631838, Agencia Cali: +57 305 4455170, Agencia Cartagena: +605 6452189 – 3187933341.

Estos canales podrán ser utilizados por los Titulares de Datos Personales, o terceros autorizados por ley para actuar en su nombre, con el objeto de ejercer sus derechos.

12. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES Para ejercer sus derechos como titular de datos personales por los canales habilitados, usted lo podrá hacer de dos maneras:

12.1. PROCEDIMIENTO DE CONSULTAS Mediante el procedimiento de consulta usted puede:

• Elevar, solicitar y acceder a la información que COSECAD® LTDA. tiene sobre usted.

• Solicitar la prueba o constancia de la autorización del tratamiento de los datos personales otorgada a COSECAD® LTDA.

• Consultar el uso de la información otorgada a COSECAD® LTDA.

La consulta deberá ser presentada a través de los canales habilitados siguiendo el procedimiento que se describe a continuación:

• En cualquier momento y de forma gratuita, usted o su representante podrán realizar consultas respecto de los datos personales que son objeto de tratamiento por parte de COSECAD® LTDA. En todos los casos, se deberá acreditar la identidad y la facultad para realizar la consulta.

• La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir del recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado los motivos, señalando la nueva fecha en que será resuelta su consulta, la cual no será superior a los cinco (5) días hábiles siguientes al vencimiento del primer término.

12.2. PROCEDIMIENTO DE RECLAMOS Para garantizar el derecho a la presentación de reclamos a los titulares a través de los canales habilitados, mediante el procedimiento de reclamos el titular podrá:

• Solicitar el acceso a los datos personales y a los detalles del tratamiento de la información personal, así como a rectificarlos, corregirlos y actualizarlos en caso de ser inexactos, o a solicitar su eliminación cuando considere que resulten ser excesivos o innecesarios para las finalidades que justificaron su obtención, u oponerse a su Tratamiento para fines específicos.

Los reclamos presentados a través de los canales habilitados seguirán el procedimiento que se describe a continuación:

• En cualquier momento y de forma gratuita, usted o su representante podrán realizar reclamaciones respecto de los Datos Personales que son objeto de Tratamiento por parte de COSECAD® LTDA. En todos los casos se deberá acreditar la identidad y la facultad para realizar el reclamo. Si el reclamo resulta incompleto, se le requerirá dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que usted presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

• El reclamo será atendido en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

12.3. REQUISITOS PARA LA ATENCIÓN DE CONSULTAS Y RECLAMOS Para garantizar el derecho a la presentación de consultas y reclamos de los titulares, en el marco del cumplimiento de los requisitos estipulados en la Ley 1581 de 2012, las solicitudes, consultas, quejas, reclamos relacionados con protección de datos personales deben contener como mínimo lo siguiente:

• Identificación del Titular (nombre y documento de identificación).

• Descripción de los hechos generadores de la consulta o reclamo.

• El objeto de la petición.

• Especificar la dirección de notificación del Titular, ya sea física o electrónica (correo electrónico).

• Anexar los documentos que se quieren hacer valer (especialmente para reclamos).

• Si el reclamo consiste en la corrección de Datos Personales, este deberá contener, además de los requisitos establecidos anteriormente, la especificación de las correcciones a realizar y acompañarse de la documentación que avale su petición.

• Si el reclamo consiste en la solicitud de supresión de Datos Personales, deberá contener la identificación de los Datos cuya supresión se pretende y procederá en aquellos casos en los que COSECAD® LTDA. así lo determine o en los cuales la Autoridad de Protección de Datos Personales lo ordene.

• La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de Datos.

13. ÁREA RESPONSABLE DE DAR TRÁMITE A SUS SOLICITUDES DE CONSULTAS O RECLAMOS COSECAD® LTDA. a través del área de Servicio al Cliente atenderá todas las peticiones, consultas y reclamos de los titulares de datos personales para que puedan ejercer sus derechos a conocer, actualizar, rectificar, suprimir el dato, así como revocar la autorización otorgada a COSECAD® LTDA.

14. TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES COSECAD® LTDA. en el desarrollo de su objeto social, en ocasiones deberá tratar datos personales de niños, niñas y adolescentes. Por ello, deberá asegurar el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda prohibido el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública y cuando el tratamiento cumpla con los siguientes requisitos: a. Que responda y respete el interés superior de los niños, niñas y adolescentes. b. Que se asegure el respeto de sus derechos fundamentales. c. Con respecto a la información de niños, niñas y adolescentes, COSECAD® LTDA. obtendrá la autorización del tratamiento de los datos personales por el representante legal del niño, niña o adolescente, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos, aplicando los principios y obligaciones de la Ley 1581 de 2012 y el Decreto 1377 de 2013.

15. TRATAMIENTO DE DATOS SENSIBLES COSECAD® LTDA., en el desarrollo de su objeto social, en ocasiones deberá realizar el tratamiento de datos de carácter sensible, como los datos de salud y los datos biométricos faciales para validación de identidad. Por lo cual, tendrá en cuenta las disposiciones de la Ley 1581 de 2012, donde no realizará el tratamiento, recolección y almacenamiento de datos sensibles excepto cuando: a. El titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización. Al aceptar los términos de uso del sistema de reconocimiento facial, el Estudiante otorga su consentimiento libre, previo, expreso e informado para la recopilación, almacenamiento, uso y procesamiento de sus Datos Biométricos Faciales. Se informará al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento. b. El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos los representantes legales deberán otorgar su autorización. c. El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. No podrá realizarse tratamiento de datos sensibles para fines distintos de los autorizados por el titular. El acceso, circulación y tratamiento de los datos sensibles será restringido y se limitará a lo expresamente autorizado por el titular y la ley. Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.

16. CONFIDENCIALIDAD INTERNA La Gerencia no autoriza el intercambio de información de datos personales dentro ni fuera de la empresa de manera no controlada. Los empleados de COSECAD® LTDA. deben firmar un acuerdo donde se comprometen a no divulgar información de datos personales con el personal, clientes y proveedores externos que por diversas razones requieran conocer o intercambiar información restringida o confidencial de la empresa. Los empleados de COSECAD® LTDA. se comprometen a no transmitir información de datos personales por correo electrónico o aplicaciones de teléfonos celulares, a menos que sea estrictamente necesario para el desarrollo de sus funciones y se utilicen los canales seguros establecidos por la empresa.

17. ACCESO REMOTO A LA INFORMACIÓN PERSONAL Para garantizar la seguridad de la información y proteger los datos personales, COSECAD® LTDA. ha implementado una política de acceso remoto que establece los requisitos y procedimientos para el uso seguro de conexiones remotas. El acceso remoto está restringido a actividades laborales autorizadas y se realiza a través de conexiones seguras y encriptadas. Se exige la autenticación de dos factores y se prohíbe el uso de dispositivos no autorizados o la descarga de software sin aprobación. Los empleados son responsables de cumplir con esta política y reportar cualquier actividad sospechosa.

18. VIGENCIA Esta política fue actualizada el once (11) de Junio del 2025. El periodo de conservación de los Datos Personales será el necesario para alcanzar la finalidad para la cual se ha recolectado y/o mientras el titular tenga obligaciones pendientes, o por el tiempo adicional que exijan normas especiales o generales. COSECAD® LTDA. realizará revisiones y actualizaciones a la presente política periódicamente, o al menos cada dos (2) años, para asegurar su continuo cumplimiento con la normativa aplicable y la efectividad de sus mecanismos de tratamiento de datos personales.