POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

PÓPULI S.A.S.
Razón social: PÓPULI S.A.S.
NIT: 900.828.287-6
Domicilio: Vía 40 369-111 Of. 504. Barranquilla – Colombia
Teléfono: (5) 385 2413
Correo electrónico: protecciondedatos@agenciapopuli.com
Páginas web: www.agenciapopuli.com

POPULI S.A.S. es una sociedad comercial constituida mediante documento privado del 2 de marzo de
2015, inscrito en la Cámara de Comercio de Barranquilla el 10 de marzo de 2015 bajo el número 280.581
del libro IX, identificada con NIT. 900.828.287-6, con domicilio principal en la ciudad de Barranquilla,
Atlántico, en la Vía 40 369-111 Of. 504, cuyo objeto social consiste en el diseño, la implementación y la
comercialización de estrategias de comunicación y actividades de publicidad, la prestación de servicios de
asesoría en mercadeo y publicidad, la producción y comercialización de eventos de esparcimiento y
entretención, así como la promoción y administración de los mismos, entre otras actividades inherentes
y relacionadas con las anteriormente descritas de mercadeo, publicidad, industria audiovisual (en adelante,
“LA EMPRESA” o “POPULI”).

LA EMPRESA, teniendo en cuenta que para el desarrollo de su objeto social (i) recibirá Datos Personales
de terceros como contactos delegados vía transmisión y/o transferencia, y también (ii) recaudará Datos
Personales de nuevos Titulares como contactos nuevos, efectuando en ambos casos diversas formas de
tratamiento sobre los datos personales de sus grupos de interés, es consciente de la responsabilidad que
le asiste como Responsable o Encargado del Tratamiento de Datos Personales, por lo que en
cumplimiento con lo establecido en el artículo 15 de la Constitución Política, la Ley Estatutaria 1581 de
2012, sus decretos reglamentarios y demás normas que la adicionen, complementen o modifiquen, en
calidad de Responsable y/o Encargado del Tratamiento de Datos Personales según sea el caso, expide,
informa y pone en conocimiento de sus grupos de interés, a saber, empleados, proveedores, terceros,
clientes y en general, a todas las personas naturales que suministren, hayan suministrado o suministrarán
sus datos personales, el contenido de la presente POLÍTICA DE TRATAMIENTO DE DATOS
PERSONALES (en adelante la “POLÍTICA”), la cual tiene por objeto comunicar a los titulares de los
datos personales qué tipo de datos utilizaremos, las condiciones en que LA EMPRESA tratará todo dato
personal que se nos proporcione de forma personal, directa e indirecta, así como las finalidades para las
cuales serán tratados por esta última, los derechos de los titulares de los datos, la forma de ejercerlos y
los deberes de nuestra organización con relación al Tratamiento de datos personales a su cargo.
Todo ello, con el propósito de garantizar el derecho constitucional que tienen todos los Titulares a
conocer, actualizar, rectificar, suprimir y revocar la autorización respecto a los Datos Personales que
hayan sido recogidos o serán obtenidos de ellos y reposan o reposarán en las Bases de Datos de la
EMPRESA, para las finalidades previstas en la Ley y aquellas expresamente consentidas por sus Titulares.
Por ello, esta Política es de obligatorio cumplimiento por parte de toda persona natural o jurídica que
acceda a las Bases de Datos de la EMPRESA, dando estricto cumplimiento a lo consagrado.

En ese sentido, LA EMPRESA se compromete a: i) cumplir en todo momento, la normatividad vigente
en materia de protección de datos personales; ii) garantizar el ejercicio de los derechos de Habeas Data
de todos los titulares de datos personales que se encuentren en sus bases de datos y archivos; iii)
desarrollar controles y medidas técnicas, legales y organizacionales, tendientes a establecer condiciones
de seguridad, con el fin de evitar el acceso, pérdida, adulteración y uso fraudulento sobre los datos sobre
los cuales ostente la calidad de Responsable y/o Encargado del Tratamiento; (iv) no obtener información
personal de terceros que tengan una relación comercial o jurídica con la EMPRESA, incluyéndolo a usted,
a los empleados, proveedores y terceros, y clientes, a menos que estos la hayan suministrado
voluntariamente mediante su consentimiento previo, expreso e informado; y (v) adoptar estándares de
seguridad y calidad para que la información de las titulares que le haya sido suministrada sólo sea tratada
para las finalidades específicas para las cuales fue recolectada, en virtud de la autorización legal o
contractual existente.

Al aceptar esta Política, clientes, proveedores, empleados activos e inactivos, contratistas, y en general
cualquier Titular de información suministrada o a suministrar a LA EMPRESA, declara conocer y
aceptar la POLÍTICA en su integridad. Luego de conocer esta POLÍTICA, cada Titular otorga la
respectiva autorización de manera previa, voluntaria, espontánea e informada a la EMPRESA, a través
de los diferentes canales dispuestos por la EMPRESA, para el Tratamiento de sus Datos Personales, de
tal manera que la organización podrá tratar los Datos de forma parcial o total, incluyendo la recolección,
almacenamiento, uso, procesamiento, divulgación, transmisión, transferencia, entre otros actos sobre
los datos suministrados para la ejecución de las finalidades para las cuales los Titulares le autorizan su
respectivo Tratamiento. Todo lo anterior, dando estricto cumplimiento a lo consagrado en los siguientes
artículos:

1. LEY APLICABLE:
La presente Política de Tratamiento de datos personales es elaborada de conformidad con lo dispuesto
en la Constitución Política, rigiéndose por sus artículos 15 y 20, la Ley 1581 de 2012 “Por la cual se dictan
disposiciones generales para la protección de datospersonales”, el Capítulo 25 del Decreto 1074 de 2015 “Por el cual se
reglamenta parcialmente la Ley 1581de 2012”, el Decreto Reglamentario 1377 de 2013 y demás disposiciones
complementarias y aplicable a la materia de Tratamiento de Datos Personales.

2. DEFINICIONES:
Con el objetivo de ayudar a determinar de una forma clara y sencilla el significado del vocablo técnico
utilizado frecuentemente en la presente Política, todo titular de datos personales sobre los cuales LA
EMPRESA ostente la calidad de RESPONSABLE Y/O ENCARGADO DEL TRATAMIENTO,
deberá entender los siguientes conceptos que a continuación se indican de conformidad con lo dispuesto
en la Ley 1266 de 2008, Ley 1581 de 2012 y el Decreto 1377 de 2013:

a. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales;
b. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por
el Responsable o Encargado que se pone a disposición del Titular para el tratamiento de sus datos
personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia
de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las
mismas y la finalidad del tratamiento que se pretende dar a los datos personales;
c. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
d. Calidad del Dato: El dato personal sometido a Tratamiento deberá ser veraz, completo, exacto,
actualizado, comprobable y comprensible. De manera que cuando se esté en poder de Datos
Personales parciales, incompletos, fraccionados o que induzcan a error, la EMPRESA deberá
abstenerse de someterlo a Tratamiento, o solicitar a su Titular la completitud o corrección dela
información,salvo que no dicha falencia no haya sido identificada porlaEMPRESA, caso enelcual
el Titular asume la responsabilidad y consecuencia que dicha omisión pueda generar;
e. Confidencialidad: Elemento de seguridad de la información que permite establecer quienes y
bajo qué circunstancias se puede acceder a la misma;
f. Consentimiento del titular: Es una manifestación de la voluntad, informada, libre e
inequívoca, a través de la cual el titular de los datos de carácter personal acepta que un tercero
utilice su información;
g. Consultas: Los Titulares o sus causahabientes podrán consultar la información personal del
Titular que repose en cualquier base de datos, sea esta del sector público o privado. El
Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a éstos todala
informacióncontenida enelregistroindividualoque esté vinculada conla identificacióndelTitular;
h. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables, relativa tanto a su identidad (nombre y apellidos,
domicilio, filiación, etc.) como a su existencia y ocupaciones (estudios, trabajo, enfermedades,
etc.). Por lo general, LA EMPRESA solicitará a través de sus canales de comunicación y Sistemas
Informáticos, en el ejercicio de su actividad comercial y/o en cumplimiento de las finalidades
autorizadas por los Titulares, solicitar a las personas y usuarios información que incluye pero no
se limita a nombre completo, cédula de identificación, correo electrónico, número de teléfono,
dirección, información de composición familiar, entre otros.
i. Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución
Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos
relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de
servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos
públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales;
j. Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública
y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o
grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad
comercialo de servicios.
k. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular;
l. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o
cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen
racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a
sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier
partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así
como los datos relativos a la salud, a la vida sexual y los datos biométricos;
m. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o
en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del
Tratamiento, de manera que no decide cómo, ni con qué fin. Su trabajo es operativo y se hace
con base a las indicaciones e instrucciones del Responsable del tratamiento;
n. Habeas Data: Es el derecho que todo titular de información tiene de conocer, actualizar,
rectificar u oponerse a la información concerniente a sus datos personales.
o. Oficial de Tratamiento/Protección de Datos: Persona o área de LA EMPRESA que se
encargade atender y/o resolver quejas, consultas y reclamos de losTitulares de losDatos y, además,
de administrar y controlar las Bases de Datos, bajo el cumplimiento de los deberes y
responsabilidades previstos en esta Política y la normativa aplicable a la materia, para garantizar
la protección de los derechos delTitular delDato.En ningún caso,será responsablefrente alTitular
porla calidad de los datos que le sean suministrados.
p. Oficial de Seguridad de la información: Área o persona responsable de crear, adoptar,
alinear y velar por el cumplimiento de la Política de Sistema de Gestión de Seguridad de la
Información de LA EMPRESA, incluyendo la utilización de medidas humanas, tecnológicas y
administrativaspara la garantíade seprotección,seguridad, integridady confidencialidad.
q. Protección de Datos de Carácter Personal: Es un derecho fundamental que tienen todas
las personas naturales. Busca la protección de su intimidad y privacidad frente a una posible
vulneración por el tratamiento indebido de datos personales capturados por un tercero.
r. Reclamo: El Titular o sus causahabientes que consideren que la información contenida en una
base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el
presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar
un reclamo ante elResponsable delTratamiento o elEncargado delTratamiento.
s. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma
o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos personales;
t. Sistemas Informáticos: Corresponde a las alternativas electrónicas, de mensajería (texto SMS
y/o MMS, WhatsApp, Facebook Messenger, KeyCom), soluciones tecnológicas, plataformas de
conversación, software, ChatBots y cualquier otro medio análogo y/o digital de comunicación
creado o por crearse por LA EMPRESA con el fin de establecer comunicación, endomarketing,
fidelización, motivación, venta, optimización, capacitación, premiación y promoción de sus
productos o servicio con los Titulares, sus clientes y/o usuarios, en el ejercicio de su actividad
comercial.
u. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
v. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como
la recolección, almacenamiento, registro, uso, circulación, modificación, transmisión o supresión,
entre otras.
w. Transferencia: Hace alusión a los casos en los que el Responsable o el Encargado del
Tratamiento de Datos Personales que se encuentra ubicado en Colombia, transfiere dicha
información a un receptor que a su vez es Responsable del Tratamiento y se encuentra dentro o
fuera del país.
x. Transmisión: Hace referencia a los casos en los que el Tratamiento de Datos Personales serealiza
por parte del Encargado, pero por cuenta del Responsable, dentro o fuera del territorio de Colombia.

3. FINALIDADES DEL TRATAMIENTO DE DATOS PERSONALES:
POPULI, en su condición de Responsable o Encargado del Tratamiento de los Datos Personales, a través
de la presente POLÍTICA, le informa al Titular que sus datos personales serán tratados con total
confidencialidad. Así mismo, se indica que la captación, recopilación, uso, almacenamiento, actualización,
circulación, transmisión, transferencia y, en general, cualquier forma de tratamiento sobre los datos se
hará de acuerdo con las siguientes finalidades generales autorizadas de manera previa, expresa e informada
por el Titular, correspondiendo, en cualquier caso, al desarrollo del objeto social y al giro ordinario de las
actividades de LA EMPRESA expresamente conocidas por el Titular:

a) Informar sobre cambios sustanciales en la POLÍTICA adoptada por LA EMPRESA;
b) Establecer, consolidar, ejecutar y gestionar la relación precontractual y/o contractual por existir o
existente con sus clientes, proveedores, trabajadores, entre otros, sea de carácter comercial, laboral,
civil o cualquier otra que surja en virtud del cumplimiento de una obligación legal o contractual a
cargo de LA EMPRESA, o a los intereses del Titular y LA EMPRESA;
c) Responder a las peticiones, consultas, reclamos y/o quejas que realicen los titulares de información
de tipo personal a través de cualquiera de los canales habilitados por LA EMPRESA para dicho
efecto.
d) Transferir o transmitir sus datos personales a entidades y/o autoridades judiciales y/o
administrativas, cuando estos sean requeridos en relación con su objeto y necesarios para el
cumplimiento de sus funciones.
e) Proveer los servicios y/o los productos requeridos;
f) Informar sobre nuevos productos o servicios y/o sobre cambios en los mismos;
g) Evaluar la calidad del servicio;
h) Realizar estudios internos sobre hábitos de consumo;
i) Enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS y/o
MMS) o a través de cualquier otro medio análogo y/o digital de comunicación creado o por crearse,
información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o
promociones de tipo comercial o no, con el fin de impulsar, invitar, dirigir, ejecutar, informar y de
manera general, llevar a cabo campañas, promociones o concursos de carácter comercial o
publicitario, adelantados por POPULI y/o por terceras personas;
j) Soportar procesos de auditoría interna o externa;
k) Registrar la información de empleados y/o pensionados (activos e inactivos) en las bases de datos
de POPULI;
l) Los indicados en la autorización otorgada por el titular del dato o descritos en el aviso de privacidad
respectivo, según sea el caso;
m) Suministrar, compartir, enviar, entregar, transmitir o transferir sus datos personales a empresas
filiales, vinculadas, o subordinadas de POPULI ubicadas en Colombia o cualquier otro país en el
evento que dichas compañías requieran la información para los fines indicados en el presente
artículo.
3.1. ACCIONISTAS:
Las finalidades que aplican a los datos personales de los socios o accionistas de LA EMPRESA son
las siguientes, sin perjuicio de las anteriores generales que le son aplicables:
a. Efectuar el pago de dividendos.
b. Permitir el ejercicio de los derechos y deberes derivados de la calidad de accionistas.
c. Recolectar, registrar y actualizar sus datos personales con la finalidad de informar,
comunicar, organizar, controlar, atender y acreditar las actividades en relación con su
calidad de accionista.
d. Cumplir decisiones judiciales, administrativas y legales relacionadas con su calidad de
accionista.
e. Permitir el ejercicio de sus derechos relacionados con su participación económica en la
sociedad.

3.2. EMPLEADOS:
LA EMPRESA utilizará los datos personales de los empleados de acuerdo con las finalidades que
se relacionan a continuación, sin perjuicio de las anteriores generales que le son aplicables:
a. Establecer y gestionar el proceso de reclutamiento, selección y contratación que adelante LA
EMPRESA.
b. Incorporar sus datos personales en el contrato laboral, modificaciones y adiciones al mismo,
así como en los demás documentos que resulten necesarios para gestionar la relación laboral
y obligaciones derivadas de la misma que se encuentren a cargo de LA EMPRESA.
c. Adelantar pruebas de desempeño, competencias y habilidades, visitas domiciliarias,
evaluaciones psicosociales y las demás que se estimen convenientes con el fin de identificar
la pertinencia de la contratación de la persona como trabajador de LA EMPRESA.
d. Desarrollar una correcta gestión de la relación contractual laboral que une al titular del dato
personal con LA EMPRESA.
e. Incorporarlos de forma adecuada en los archivos laborales activos e históricos de LA
EMPRESA y mantenerlos actualizados.
f. Enviar comunicaciones internas relacionadas o no con su vinculación laboral con LA
EMPRESA.
g. Administrar los datos personales para que LA EMPRESA, en condición de empleador,
cumpla correctamente con sus obligaciones. Por ejemplo: adelantar las afiliaciones a las que
tiene derecho por ley el trabajador ante fondos de pensiones, EPS, administradoras de
riesgos laborales, cajas de compensación familiar y demás asuntos relacionados con
prestaciones sociales, contribuciones, retenciones, impuestos, controversias laborales, como
también en caso de aportes o pagos a otras entidades donde el colaborador de forma previa
haya autorizado el tratamiento.
h. Gestionar los datos personales del titular y los de su núcleo familiar para realizar trámites de
afiliación a las entidades promotoras de salud −EPS−, cajas de compensación familiar,
administradoras de riesgo laboral −ARL−, y demás necesarias para que LA EMPRESA
cumpla su deber como empleador.
i. Responder solicitudes del trabajador sobre expedición de certificados, constancias y demás
documentos solicitados a LA EMPRESA en razón al vínculo laboral.
j. Promover su participación en programas desarrollados por LA EMPRESA que tengan como
finalidad el bienestar y buen clima laboral.
k. Gestionar sus datos personales para garantizar una correcta asignación de las herramientas
de trabajo (incluidas las herramientas TI tales como correo electrónico, computadoras,
teléfonos móviles, accesos a bases datos, etc.).
l. Garantizar una correcta ejecución de lo establecido en el Reglamento Interno de Trabajo,
incluidos los procesos disciplinarios e investigaciones pertinentes.
m. Monitorear y utilizar las imágenes que se capten a través sistemas de video vigilancia con la
finalidad de controlar y monitorear el desarrollo y rendimiento de las actividades laborales
en el lugar o puesto de trabajo de ser necesario.
n. Realizar el correcto pago de la nómina, incluida la realización de los descuentos para pagos
a terceros que el trabajador haya autorizado previamente y realizar los informes relativos a
este proceso.
o. Notificar a contactos autorizados en caso de emergencias durante el horario de trabajo o con
ocasión del desarrollo del mismo.
p. Planificar actividades empresariales y para fines comerciales, de promoción y publicidad.
q. Controlar el acceso a las oficinas de la EMPRESA.
r. Realizar capacitaciones.
s. Transferir, transmitir y suministrar la información y Datos Personales de los Titulares a
terceros, con el fin de que LA EMPRESA realice sus actividades comerciales y/o cumpla
con cualquiera de las finalidades aquí descritas.
t. Cualquier otra actividad de naturaleza similar y/o complementaria a las anteriormente
descritas que sean necesarias para desarrollar el objeto social de LA EMPRESA.

3.3. PROVEEDORES, CONTRATISTAS Y TERCEROS:
LA EMPRESA utilizará los datos personales de los proveedores y terceros, de acuerdo con las
finalidades que se relacionan a continuación, sin perjuicio de las anteriores generales que le son
aplicables:
a. Desarrollar una correcta gestión de la relación contractual que lo vincula con LA EMPRESA.
b. Informar, comunicar, organizar, controlar, atender, acreditar las actividades en relación a su
condición de proveedor y/o tercero relacionado con LA EMPRESA y demás trámites
asociados a cargo de ésta.
c. Efectuar los diferentes procesos de pagos facturas y cuentas de cobro presentadas a LA
EMPRESA y gestión de cobranzas que se encuentren a su cargo.
d. Evaluar los servicios ofrecidos o prestados por parte del proveedor y/o tercero relacionado
con LA EMPRESA.
e. Cumplir cualquier otra obligación legal que se encuentre a cargo de LA EMPRESA.
f. Analizar aspectos financieros, técnicos y de cualquier otra índole que permita a LA
EMPRESA, identificar la capacidad de cumplimiento del proveedor.
g. Cumplir las obligaciones derivadas de la relación comercial que se establezca con el
proveedor, contratista o tercero.
h. Brindar asistencia y/o información de interés general o comercial al proveedor, contratista
o tercero de LA EMPRESA.
i. Desarrollar y aplicar procesos de selección, evaluación, elaboración de respuestas a una
solicitud de información, elaborar solicitudes de cotización y propuesta, y/o adjudicación de
contratos.
j. Evaluar la calidad de los productos y servicios ofrecidos o prestados a LA EMPRESA.
k. Utilizar, en el evento que sea necesario, los datos personales del colaborador del proveedor,
contratista o tercero, con el fin de establecer controles de acceso a la infraestructura lógica
o física de LA EMPRESA.
l. Realizar pagos a proveedores, incluida la administración de los números de cuentas bancarias
para la correcta gestión de los pagos a realizar por parte de LA EMPRESA.
m. Enviar o aportar información a las autoridades competentes, cuando así lo soliciten, o en el
curso de controversias contractuales.
n. Transferir información a autoridades administrativas que, debido a sus funciones, así lo
requieran con el fin de cumplir las obligaciones legales a cargo de LA EMPRESA.
o. Planificar actividades empresariales y para fines comerciales, de promoción y publicidad.
p. Transferir, transmitir y suministrar la información y Datos Personales de los Titulares a
terceros, con el fin de que LA EMPRESA realice sus actividades comerciales y/o cumpla
con cualquiera de las finalidades aquí descritas.
q. Cualquier otra actividad de naturaleza similar y/o complementaria a las anteriormente
descritas que sean necesarias para desarrollar el objeto social de LA EMPRESA de
conocimiento expreso del Titular.

3.4. CLIENTES, POTENCIALES CLIENTES Y USUARIOS DE LOS SISTEMAS
INFORMATICOS:
LA EMPRESA utiliza y utilizará los datos personales de los clientes y cualquier usuario de los
Sistemas Informáticos utilizados por la EMPRESA para la oferta, prestación y comercialización de
sus productos y servicios, de acuerdo con las finalidades que se relacionan a continuación, sin
perjuicio de las anteriores generales que le son aplicables:
a. Evaluarlo como cliente potencial de LA EMPRESA.
b. Registrarlo como cliente de LA EMPRESA.
c. Informar, comunicar, organizar, controlar, atender, acreditar las actividades en relación con
su condición de CLIENTE de LA EMPRESA.
d. Dar cumplimiento y seguimiento a las obligaciones contraídas por el cliente con LA
EMPRESA.
e. Generar conversaciones sobre asuntos de interés de cualquier de los clientes, potenciales
clientes y/o usuarios de los Sistemas Informáticos de LA EMPRESA.
f. Consultar en cualquier tiempo en los bancos de datos, toda la información relevante para su
vinculación como beneficiario de los productos y servicios ofrecidos por LA EMPRESA,
conocer su desempeño como deudor, su capacidad de pago, así como para verificar el
cumplimiento de sus deberes legales y/o contractuales.
g. Reportar en los bancos de datos, directamente o por intermedio de las autoridades de
vigilancia y control, datos tratados o sin tratar, referidos al cumplimiento o incumplimiento
de sus obligaciones, así como información de sus relaciones comerciales, financieras y en
general socioeconómicas que haya entregado a las autoridades autorizadas o que consten en
registros públicos, bases de datos públicas o documentos públicos.
h. Responder a solicitudes o requerimientos de información de nuestros productos o servicios.
i. Proveer, procesar, completar y hacerle seguimiento a los productos o servicios adquiridos
por el cliente.
j. Realizar labores de facturación.
k. Gestionar el cobro de las obligaciones financieras adquiridas por el cliente con LA
EMPRESA.
l. Enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS
y/o MMS, WhatsApp, Facebook Messenger) o a través de cualquier otro medio análogo y/o
digital de comunicación creado o por crearse, incluyendo los Sistemas Informáticos
utilizados por LA EMPRESA para el ejercicio de sus actividades comerciales, lanzamiento
de proyectos, entre otros, toda la información comercial, publicitaria o promocional sobre
los productos y/o servicios, eventos y/o promociones de tipo comercial, con el fin de
impulsar, invitar, dirigir, ejecutar, informar y, de manera general, llevar a cabo campañas,
promociones o concursos de carácter comercial o publicitario, adelantados directamente por
LA EMPRESA y/o por terceras personas, incluyendo sus clientes.
m. Realizar análisis estadísticos de tendencias, hábitos de consumo y comportamientos del
consumidor.
n. Realizar capacitaciones.
o. Lanzar programas de fidelización incluyendo, pero no limitándose a la realización de
concursos, entrega de premios, incentivos, entre otros.
p. Planificar actividades empresariales y para fines comerciales, de promoción y publicidad.
q. Adoptar estrategias de marketing institucional direccionada a acciones internas
(endomarketing) en todos los niveles organizacionales de LA EMPRESA y sus clientes, para
entrenamientos en ventas, encuestas, socialización de campañas salud y seguridad en el
trabajo y bienestar, transformación de procesos, cultura organizacional, fechas especiales, y
en general comunicar o conversar sobre asuntos de interés corporativo.
r. Transferir, transmitir y suministrar la información y Datos Personales de los Titulares a
terceros, con el fin de que LA EMPRESA realice sus actividades comerciales y/o cumpla
con cualquiera de las finalidades aquí descritas.
r. Cualquier otra actividad de naturaleza similar y/o complementaria a las anteriormente
descritas que sean necesarias para desarrollar el objeto social de LA EMPRESA de
conocimiento expreso del Titular.
PARÁGRAFO PRIMERO: Respecto del artículo 3.3. LA EMPRESA entiende y el proveedor declara
que los datos personales del proveedor y los de terceros que el proveedor suministre, tales como
trabajadores autorizados para llevar a cabo la gestión o servicio encomendado, referencias y
certificaciones comerciales, cuenta con la autorización de los titulares para ser entregados y tratados de
acuerdo con las finalidades contempladas en la presente POLÍTICA, caso en el cual LA EMPRESA
actúa como ENCARGADO bajo la responsabilidad del proveedor como Responsable directo.
PARÁGRAFO SEGUNDO: Respecto de los datos recolectados directamente en los puntos de
seguridad, tomados de los documentos que suministran las personas al personal de seguridad y/u
obtenidos de las videograbaciones que se realizan dentro o fuera de las instalaciones de POPULI para
la finalidad autorizada por el Titular con la aceptación de esta Política, los Datos Personales se utiliza y
utilizarán para fines de seguridad de las personas, los bienes e instalaciones de POPULI y podrán ser
utilizados como prueba en cualquier tipo de proceso sin que ello implique alguna vulneración a derechos
de habeas data o incumplimiento de los deberes de LA EMPRESA en calidad de Responsable o
Encargado del Tratamiento de los Datos Personales según sea el caso.
PARÁGRAFO TERCERO: La obligación establecida en este artículo bajo el principio de finalidad, se
prevé a cargo de los Responsables y/o Encargados en virtud de los contratos de transferencia y/o
transmisión que celebre la EMPRESA con terceros, para el Tratamiento de Datos Personales, de manera
que estas últimas quedarán obligados y serán responsables por el Tratamiento de Datos Personales.
De tal manera que en cualquier caso, POPULI se abstendrá de vender, licenciar, transmitir, o divulgar
la misma, salvo que: (i) exista autorización expresa para hacerlo; (ii) sea necesario para permitir a los
contratistas o agentes prestar los servicios encomendados; (iii) sea necesario con el fin de proveer
nuestros servicios y/o productos; (iv) sea necesario divulgarla a las entidades que prestan servicios de
mercadeo en nombre de POPULI o a otras entidades con las cuales se tengan acuerdos de mercado
conjunto; (v) la información tenga relación con una fusión, consolidación, adquisición, desinversión, u
otro proceso de restructuración de la sociedad; (vi) que sea requerido o permitido por la ley. No
obstante, es aceptado por los Titulares que POPULI podrá subcontratar a terceros para el
procesamiento de determinadas funciones o información, pudiendo transmitir y/o transferir los Datos
que han sido recolectados por aquel, para que terceros cumplan las referidas funciones con la
autorización derivada de los Titulares. En tales eventos en que POPULI efectivamente subcontrate con
terceros el procesamiento de información personal o se proporcione información personal a terceros
prestadores de servicios, POPULI advierte a dichos terceros sobre la necesidad de proteger dicha
información personal con medidas de seguridad apropiadas, se prohíbe el uso de la información para
fines propios y se solicita que no se divulgue la información personal a otros
PARÁGRAFO CUARTO: En atención a la finalidad relacionada con el lanzamiento y la comunicación
de programas de fidelización a través de los Sistemas Informáticos utilizados por LA EMPRESA para
el ejercicio de su actividad comercial, incluyendo, pero no limitándose a la realización de concursos,
entrega de premios, promoción de incentivos, entre otros, a terceros, el Titular de los Datos Personales
que sea beneficiario de alguno de tales incentivos, bonos o premios, reconoce y acepta que ello no
implicará bajo circunstancia alguna la existencia de un vínculo laboral entre aquel y LA EMPRESA o
alguno de sus clientes, filiales, subsidiarias, accionistas, Etc., de manera que se deberá única y
exclusivamente a una actividad de naturaleza comercial y sin ningún ánimo asociativo, laboral o
prestacional.

PARÁGRAFO QUINTO: Para las finalidades mencionadas en este artículo, la EMPRESA queda
expresamente autorizada por el Titular para comunicarse con el Titular a través de su información de
contacto, esto es mediante todos los medios posibles, incluido SMS y la aplicación WhatsApp, así como
cualquier otra solución de mensajería, la cuenta del Titular creada en los Sistemas Informáticos de LA
EMPRESA, y/o cualquier otro canal tradicional o no convencional que se adopte para el efecto.

4. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES:
LA EMPRESA está comprometida en mantener la libertad, integridad, transparencia, confidencialidad,
veracidad y disponibilidad de los datos personales de sus grupos de interés y, en general, de cualquierpersona
natural cuyos datos personalesse encuentren en sus bases de datos o archivos. LA EMPRESA garantiza la
aplicación de los principios generales para el tratamiento de este tipo de datos los cuales se mencionan a
continuación, sin perjuicio de aquellos adicionales previstos en la normativa aplicable a la materia de
Tratamiento deDatos con elfin de protegerlos derechos de losTitulares:
a. Principio de finalidad: El Tratamiento de los datos personales recogidos debe obedecer a una
finalidad legítima, la cual debe ser previamente informada al Titular y autorizada por aquel;
b. Principio de libertad: El Tratamiento sólo puede llevarse a cabo con el consentimiento, previo,
expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin
previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. En el
evento que se recolecten datos personales sensibles, el Titular podrá negarse a autorizar su
Tratamiento.
c. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa,
exacta, actualizada, comprobable y comprensible. No será efectuado el Tratamiento de datos
parciales, incompletos, fraccionados o que induzcan a error;
d. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener
de POPULI en cualquier momento y sin restricciones, información acerca de la existencia de datos
que le conciernan;
e. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se
derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la
Constitución. Los datos personales, salvo la información pública, y lo dispuesto en la autorización
otorgada por el titular del dato, no podrán estar disponibles en Internet u otros medios de
divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar
un conocimiento restringido sólo a los Titulares o terceros autorizados;
f. Principio de seguridad: La información sujeta a Tratamiento por parte de POPULI. se deberá
proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias
para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento, para la cual se designará a un Oficial de Seguridad de la Información
que vigilará el cumplimiento de dichas medidas;
g. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos
personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada
su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar
suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las
actividades autorizadas.
h. Principio de Responsabilidad Demostrada (Accountability). Aquel que se basa en el enfoque
del reconocimiento y del compromiso de las organizaciones a los efectos de incrementar los
estándares de protección para procurar y garantizar a las personas un tratamiento adecuadode sus
datos personales. Este principio comporta para LA EMPRESA una obligación de rendircuentas
sobre sus actividades en materia de protección de datos personales, aceptar responsabilidad sobre
ellas y divulgarlosresultados demanera transparente.
i. Principio de necesidad: Los Datos Personales sólo pueden ser tratados por la EMPRESA
durante el tiempo que se requieran y cuando el propósito de su Tratamiento lo justifique,siempre
que los Titulares no le soliciten a laEMPRESAsu supresión o informe el cumplimientode la finalidad
para la cual le autorizó elTratamiento de susDatos.
5. DERECHOS DE LOS TITULARES DE DATOS PERSONALES OBJETO DE
TRATAMIENTO POR PARTE DE POPULI:
De conformidad con lo establecido en artículo 8 de la Ley 1581 de 2012, los titulares de datos personales
por sí o por intermedio de su representante y/o apoderado o su causahabiente podrán ejercer los
siguientes derechos, respecto de los datos personales que sean objeto de tratamiento por parte de
POPULI:
a. Derecho de conocimiento y acceso, en virtud del cual el Titular podrá consultar a POPULI de
manera gratuita, si sus datos personales han sido sometidos a cualquier forma de tratamiento por
parte de LA EMPRESA, el origen de sus datos y si los mismos han sido transmitidos o
transferidos o no a terceros y, la identificación de esos terceros de ser el caso.
b. Derecho de actualización, rectificación y supresión, en virtud del cual el Titular podrá solicitar a
POPULI, la actualización, rectificación y/o supresión de sus datos personales objeto de
tratamiento, de tal manera que se satisfagan los propósitos del tratamiento. Este derecho se podrá
ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan
a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado por
el Titular, o cuando en el tratamiento de los mismos no se hayan respetado los principios
establecidos en la Ley 1581de 2012. En este caso, los titulares de la información deberán indicar
los datos que solicitan corregir y además acompañar la documentación que justifique lo
solicitado. La cancelación dará lugar al bloqueo de sus datos, conservándolos por parte del
responsable, con el único fin de que estos sean accesibles a autoridades administrativas o
judiciales, siempre obedeciendo el plazo de prescripción que exista sobre los mismos. Cumplido
este plazo debe procederse por parte del responsable a la cancelación definitiva de la información
personal del interesado o afectado, que repose en nuestras bases de datos o archivos.
c. Derecho a solicitar prueba de la autorización otorgada para el tratamiento de sus datos
personales, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012, salvo en los
eventos en los cuales, según las normas legales vigentes, no se requiera de la autorización para
realizar el tratamiento.
d. Derecho a ser informado respecto del uso del dato personal, previa solicitud.
e. Derecho a presentar quejas ante la Superintendencia de Industria y Comercio por infracciones,
acciones u omisiones del Responsable o Encargado del Tratamiento de Datos Personales según
lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o
complementen.
f. Derecho a revocar la Autorización y/o solicitar la supresión del Dato cuando en su Tratamiento
cuando no se respeten los principios, derechos y garantías constitucionales y legales. La
revocatoria y/o supresión procederá también cuando la Superintendencia de Industria y
Comercio haya determinado que, en el Tratamiento, el Responsable o Encargado ha incurrido
en conductas contrarias a la Ley 1581 de 2012 y/o la Constitución. En todo caso, la solicitud de
supresión de la información y la revocatoria de la autorización no procederán cuando el titular
tenga el deber legal o contractual de permanecer en la base de datos.
PARÁGRAFO PRIMERO: Para efectos del ejercicio de los derechos antes descritos tanto el titular
como la persona que lo represente deberá demostrar su identidad y, de ser el caso, la calidad en virtud de
la cual representa al titular. Si usted desea ejercer su derecho de habeas data a través de representante
legal deberá presentar un poder general o especial debidamente autenticado. Los derechos de los menores
de edad serán ejercidos por medio de las personas que estén facultadas para representarlos.
PARÁGRAFO SEGUNDO: Los derechos de los Titulares deberán ser garantizados no solo por la
EMPRESA, sino también por aquellos Responsables y/o Encargados del Tratamiento de dichos Datos
que adquieran dicha calidad en virtud de los contratos de transferencia y/o transmisión que celebre la
EMPRESA para su respectivo Tratamiento, en los términos autorizados en esta POLÍTICA.
6. OBLIGACIONES DEL TITULAR DE DATOS PERSONALES:
Las obligaciones de los Titulares son las siguientes:
(i) Proporcionar de manera oportuna, información veraz, fidedigna, completa, precisa y
comprobable a LA EMPRESA.
(ii) Informar a la EMPRESA de cualquier actualización de la información solicitada por la
EMPRESA a través de los diferentes canales dispuestos por aquella para los fines mismos de su
Tratamiento arriba mencionados.
(iii) Mantener indemne a la EMPRESA ante cualquier perjuicio causado a terceros por incumplir con
la actualización y veracidad de la información solicitada, así como por desconocer o violar las
normas de protección de Datos Personales.
(iv) Abstenerse de divulgar, publicar o replicar información contenida en el sitio web y demás canales
dispuestos por LA EMPRESA, que esté o no relacionada con las finalidades por las cuales el
Titular suministra sus Datos Personales.
(v) Abstenerse de utilizar los signos distintivos del LA EMPRESA y/o sus clientes sin la previa
autorización de la EMPRESA.
(vi) Abstenerse de actuar en nombre de LA EMPRESA, sus clientes y/o sus empresas vinculadas,
encargadas o filiales sin su previa autorización.
PARÁGRAFO.- VERACIDAD DE LA INFORMACIÓN: En atención a que los Titulares de Datos
Personales que autoricen su Tratamiento a la EMPRESA están obligados a entregar a esta última,
información veraz, el Titular al aceptar la Política, reconoce que cualquier imprecisión, omisión,
inexactitud o falsedad sobre sus Datos Personales es de su exclusiva responsabilidad. Por lo que, la
EMPRESA no se responsabiliza y se mantendrá indemne frente a cualquier omisión u alteración de la
información.
7. OBLIGACIONES DE LA EMPRESA:
7.1. EN CASO DE QUE ACTÚE COMO RESPONSABLE O ENCARGADO:
POPULI como Responsable (en el caso de los denominados contactos nuevos) o Encargada (en nombre
de otra persona, entidad u organización) del Tratamiento de Datos Personales está obligada a cumplir con
los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley:
(i) Solicitar y conservar, en las condiciones previstas en esta POLÍTICA, copia de la respectiva
autorización otorgada por el titular.
(ii) Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada.
(iii) Informar a solicitud del titular sobre el uso dado a sus datos personales.
(iv) Tramitar las consultas y reclamos formulados en los términos señalados en la presente
POLÍTICA.
(v) Garantizar el cumplimiento de los principios de veracidad, calidad, seguridad y
confidencialidad en los términos establecidos en la presente POLÍTICA.
(vi) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
(vii) En caso de ser Encargado, verificar que el Responsable del tratamiento esté autorizado para
suministrar los datos personales que tratará.
(viii) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
(ix) Realizar oportunamente la actualización, rectificación o supresión de los datos.
(x) En caso de ser Encargado, actualizar la información reportada por los Responsables del
tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
(xi) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se establece
en la presente POLÍTICA en caso de que ese sea efectivamente el estado.
(xii) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado
por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad
del dato personal.
(xiii) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo
haya sido ordenado por la Superintendencia de Industria y Comercio.
(xiv) Permitir el acceso a la información únicamente a las personas autorizadas por el titular o
facultadas por la ley para tal efecto.
(xv) Informar a la Superintendencia de Industria y Comercio cuando se presente algún incidente
de seguridad y existan riesgos en la administración de la información de los titulares.
(xvi) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
(xvii) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimientode la ley y enespecial, para la atenciónde consultas y reclamos.
7.2. EN CASO DE QUE REALICE EL TRATAMIENTO A TRAVÉS DE UN
ENCARGADO:
(i) Suministrar al Encargado del tratamiento únicamente los datos personales cuyo tratamiento
esté previamente autorizado. Para efectos de la transmisión nacional o internacional de los
datos se deberá suscribir un contrato de transmisión de datos personales o pactar cláusulas
contractuales según lo establecido en el artículo 25 del decreto 1377 de 2013.
(ii) Comunicar de forma oportuna al Encargado del tratamiento todas las novedades respecto de
los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para
que la información suministrada a este se mantenga actualizada.
(iii) Informar al Encargado del Tratamiento cuando determinada información se encuentre en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizadoel
trámite respectivo.
(iv) Informar de manera oportuna al Encargado del tratamiento las rectificaciones realizadas
sobre los datos personales para que LA EMPRESA proceda a realizar los ajustes pertinentes.
(v) Exigir al Encargado del tratamiento, en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del titular.
(vi) Informar al Encargado del tratamiento cuando determinada información se encuentre en
discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado
el trámite respectivo.

7.3. EN CASO DE QUE REALICE EL TRATAMIENTO POR CUENTA DE UN
TERCERO:
LA EMPRESA puede obrar en ciertos eventos como Encargado del Tratamiento de los datos
suministrados o transmitidos por algunos de sus grupos de interés o clientes que han contratado con LA
EMPRESA (los denominados contactos delegados), comprometiéndose en virtud de esa relación
contractual, al cumplimiento de los siguientes deberes:
(i) Verificar que el Responsable del Tratamiento esté autorizado para suministrar los datos
personales que tratará como Encargado.
(ii) Garantizar al Titular, en todo momento, el pleno y efectivo ejercicio del derecho de habeas data.
(iii) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
(iv) Realizar oportunamente la actualización, rectificación o supresión de los datos.
(v) Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5)
días hábiles contados a partir de su recibo.
(vi) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la
presente política.
(vii)Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se establece en
la presente política.
(viii) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por
parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato
personal.
(ix) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo
haya sido ordenado por la Superintendencia de Industria y Comercio.
(x) Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas
por la ley para dicho efecto.
(xi) Informar a la Superintendencia de Industria y Comercio cuando se presenten incidentes de
seguridad y existan riesgos en la administración de la información de los titulares.
(xii)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
7.4. RESPECTO DE LA SUPERINTENDENCIA DE INDUSTRIA Y
COMERCIO:
(i) Informarle las eventuales violaciones a los códigos de seguridad y la existencia de riesgos en
la administración de la información de los titulares.
(ii) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
(iii) Realizar el respectivo registro de las bases de datos bajo su Tratamiento en los casos que así
lo disponga la ley.
8. AUTORIZACIÓN DEL TITULAR DEL DATO PERSONAL:
El Tratamiento de Datos Personales por parte de la EMPRESA requiere del consentimiento libre,
previo, expreso e informado del Titular, sea dado directamente a la EMPRESA en el caso de los
denominados contactos nuevos, o a través de terceros en calidad de Responsables o Encargados de
dichos Datos, autorizados para transmitirlos o transferirlos a la EMPRESA en el caso de los
denominados contactos delegados. Esta autorización se puede dar por cualquier medio siempre que
sea posible su consulta posterior.
LA EMPRESA informa que, mediante la autorización libre, previa, expresa e informada, Usted, como
titular de datos personales autoriza que los mismos sean captados, almacenados, transmitidos, usados,
actualizados, circulados y, en general, tratados conforme a las finalidades que se relacionan en la presente
POLÍTICApara cada grupode interés y/o en la respectiva autorización.
Para tal fin, el Titular manifiesta que (i)su Autorización implica haber leído lostérminos y condicionesdel
sistema informático del que se trate, los cuales incluyen esta Política de Tratamiento de Datos Personales
en concordancia con la Ley 1581 del 2012, el Decreto 1074 de 2015 y el Decreto 1377 del2013 y (ii) que
cualquier medio como la respuesta “sí” vía telefónica o dar clic en aceptar o devolver víaelectrónica, el
formulariodebidamentediligenciado,antesdelregistroosuministrodesuinformación, es entendidocomo
prueba de su Autorización en virtud de lo dispuesto en el artículo 3 de definicionesde la Resolución 2232
de 2021.


8.1. MEDIO A TRAVÉS DE LOS CUALES EL TITULAR CONCEDE A LA
EMPRESA, LA AUTORIZACIÓN:
De acuerdo con lo anterior, con antelación y/o al momento de efectuar la recolección del dato personal,
-sea porque el Titular accede directamente a alguno de los Sistemas Informáticos de POPULI o porque
POPULI realiza actividades de publicidad en eventos públicos y/o privados, propios y/o de terceros
como sus clientes, que promueven el ingreso del Titular a algunos de sus Sistemas Informáticos, POPULI
en cualquier de estos eventos denominados contactos nuevos- , solicitará al titular del dato su
Autorización para efectuar su recolección y tratamiento, indicando la finalidad para la cual se solicita el
dato, utilizando para esos efectos medios técnicos automatizados, escritos u orales, que permitan
conservar prueba de la autorización y/o de la conducta inequívoca descrita en el artículo 7 del Decreto
1377 de 2013, sea por ejemplo por vía electrónica, la activación de un botón electrónico (clic), escrita u
oral, y en general, mediante conductas inequívocas del titular que permitan concluir de forma razonable
que otorgó la autorización, siempre y cuando sea expresa y clara y la EMPRESA adquiera prueba de ella.
En ese sentido, LA EMPRESA obtiene la Autorización del Titular por cualquiera de estos medios, de
manera previa a que el Titular deposite, consigne, diligencia y en general, divulgue o le revele a la
EMPRESA, sus datos, en los diferentes momentos comerciales en los cuales existe interacción entre ellos.
Ejemplo de ello, cuando el Titular realiza el respectivo registro como usuario en cualquiera de las
plataformas o Sistemas Informáticos de LA EMPRESA al estar interesado en los servicios o productos
ofrecidos por esta última, cuando LA EMPRESA lo contacte directamente en virtud de una autorización
otorgada por un tercero Responsable o Encargado, entre otros.
Para tal fin, el Usuario deberá (i) leer los términos y condiciones del Sistema Informático del que se trate,
los cuales incluyen esta POLÍTICA en concordancia con la Ley 1581 del 2012, el Decreto 1074 de 2015
y el Decreto 1377 del 2013 y (ii) dar clic en aceptar o devolver vía electrónica el formulario debidamente
diligenciado, antes del registro de su información en el canal dispuesto por LA EMPRESA de requerirse
registro. En caso de que el usuario no autorice el Tratamiento de sus Datos, no será posible la creación
de su cuenta, su registro como usuario, la interacción con LA EMPRESA, recibir los mensajes o
comunicaciones de LA EMPRESA ni ser contactado por esta última para el cumplimiento de las
finalidades para los cuales se le autorizó el Tratamiento de los Datos.
En ese sentido, en atención a la Resolución 2232 de 2021, y particularmente lo dispuesto en su artículo 3
de definiciones, la autorización para el Tratamiento de Datos Personales a LA EMPRESA se adquiere al
momento del registro anteriormente mencionado o con el uso de los Sistemas Informáticos puestos a
disposición al público por parte de LA EMPRESA, por cuanto para el uso, el Titular deberá acepta que
conoce la presente POLÍTICA, la cual esta y estará disponible y será de fácil acceso en todos los Sistemas
Informáticos dispuestos por LA EMPRESA.
Por su parte, quienes suministren Datos Personales de sus beneficiarios, dependientes, empleados,
directivos, accionistas y demás terceros, declaran que en su calidad de Responsables de dichos Datos
cuentan con la autorización previa por parte de aquellos para darles tal Tratamiento, transmitiéndolo o
transfiriéndolo a la EMPRESA.
De manera que la EMPRESA podrá actuar como Responsable o Encargado del Dato Personal,
dependiendo de la finalidad para la cual haya obtenido el Dato, por lo que se compromete a cumplir
con las responsabilidades que para cada calidad haya fijado la normatividad, incluso en aquellos en los
que transmita o transfiera dichos Datos, bajo las restricciones señaladas en la presente Política para tal
efecto.


8.2. CONTENIDO DE LA AUTORIZACIÓN:
En dicha Autorización se encuentran los siguientes elementos que con su aceptación serán
consentidos porlosTitulares:
1. ElTratamiento al cualserán sometidossus datos personales y la finalidad delmismo.
2. El carácterfacultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen
sobredatossensiblesosobre los datos de lasniñas,niños y adolescentes.
3. Los derechos que le asisten comoTitular.
4. La identificación, dirección física o electrónica y teléfono del Oficial del Tratamiento.
8.3. VIGENCIA DE LA AUTORIZACIÓN:
LAEMPRESAsolopodrá recolectar, almacenar,usarocircularlosdatospersonalesdurante el tiempo que
sea razonable y necesario para satisfacer las necesidades que dieron origen a la solicitud del dato de
acuerdo con las finalidades que justificaron el tratamiento.
Lo anterior, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos
administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las
finalidades del tratamiento, y sin perjuicio de normas legales que dispongan lo contrario, LA EMPRESA
procederá a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos
personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal
o contractual.


8.4. PRUEBA DE LA AUTORIZACIÓN Y LIMITACIONES TEMPORALES AL
TRATAMIENTO DE LOS DATOS PERSONALES:
En atención al principio de accountability o responsabilidad demostrada, LA EMPRESA mantendrá
registros omecanismos necesarios para demostrar cuándo y cómo se obtuvo la autorización por partede
los Titulares de Datos Personales para el Tratamiento de los mismos. Esta misma obligación se prevé
en los contratos de transferencia y/o transmisión a celebrar con los otros Responsables y/o
Encargados para el Tratamiento de Datos Personales, de manera que estos últimos quedarán
obligados y seránresponsables por el inadecuadoTratamiento deDatosPersonales.


8.5. CASOS EN QUE NO SE REQUIERE DE AUTORIZACIÓN:
De conformidad con el artículo 10 de la Ley 1581 de 2012, no se requerirá de la Autorización del
Titular cuando:


1. La información sea requerida por una entidad pública o administrativa en ejercicio de sus
funcioneslegales.
2. La información sea requerida por orden judicial.
3. Los datos otorgadostengan el carácter de públicos.
4. Ante casos de urgenciamédicao sanitaria.
5. Los datosse relacionen con elregistro civil o información pública de los Titulares.
8.6. REVOCATORIA DE LA AUTORIZACIÓN:
Tenga en cuenta que Usted como Titular de Datos Personales podrá, en cualquier momento, revocar el
consentimiento que haya otorgado a LA EMPRESA para el tratamiento de sus datos personales, salvo
que legal o contractualmente LA EMPRESA deba tratar dicha información, mediante el envío de una
comunicación o solicitud escrita a través los canales que constan en el artículo de
“PROCEDIMIENTO PARA EL EJERCICIO DEL DERECHO DE HABEAS DATA” de
la presente POLÍTICA, aportando copia de su documento de identificación o cualquier otro
documento que, a juicio deLAEMPRESA,permita acreditarsu identidad.
9. TRATAMIENTO DE DATOS PERSONALES DE NATURALEZA ESPECIAL:
9.1. REQUISITOS ESPECIALES PARA EL TRATAMIENTO DE DATOS
SENSIBLES:
LA EMPRESA en su calidad de Responsable o Encargado del Tratamiento, identificará los Datos
Sensibles que eventualmente recolecte o almacene y cumplirá las obligaciones que se describen a
continuación:
a. Informar a dichos Titulares, a través de los diversos medios de obtención de la autorización a
todos sus titulares, que en virtud de la ley 1581 del 2012 y normas reglamentarias, no están
obligados a otorgar la autorización para el tratamiento de datos sensibles.
b. Implementar especial atención y reforzar su responsabilidad frente al tratamiento de este tipo
de datos, lo cual se traduce en una exigencia mayor en términos de cumplimiento de los
principios y los deberes establecidos por la normatividad vigente en materia de protección de
datos.
c. Establecer los niveles de seguridad técnica, legal y administrativa para tratar esa información de
forma adecuada y bajo la mayor estricta confidencialidad.
d. Aumentar las restricciones de acceso y uso por parte del personal de LA EMPRESA en su
calidad de empleadora y de terceros contratistas o proveedores de ésta.
9.2. DATOS PERSONALES DE NIÑAS, NIÑOS Y ADOLESCENTES TRATADOS
POR LA EMPRESA.
LA EMPRESA en calidad de Responsable o Encargado del Tratamiento de Datos Personales, brindará
especial protección a los Datos Personales de los menores de edad que haya recibido en el marco de la
realización de sus actividades comerciales, en atención a las garantías constitucionales que sobre el
particular se consagran y al carácter excepcional de su otorgamiento, efectos para los cuales se requiere
expresa autorización por parte de los representantes de los menores, siempre y cuando la finalidad del
Tratamiento de dichos Datos no contraríen el interés superior del menor y/o implique el
desconocimiento de sus derechos fundamentales. Por ello, será el representante del menor, quien tendrá
la facultad de autorizar o no el Tratamiento de cualquier clase de información de los menores de edad.
Todo lo anterior, de acuerdo con lo consagrado en el Decreto 1074 de 2015 de Colombia.
En ese sentido, el tratamiento de datos personales de niños, niñas y adolescentes por parte de LA
EMPRESA se llevará a cabo respetando siempre los siguientes requisitos:
a. Siempre responder y respetar el interés superior de los niños, niñas y adolescentes.
b. Siempre asegurar por parte del responsable el respeto a sus derechos fundamentales.
c. Que el representante legal del menor otorgue la autorización, previo el ejercicio de éste de su
derecho a ser escuchado, opinión que, en la medida de lo posible, debe ser valorada teniendo
en cuenta los siguientes factores:
ü Madurez
ü Autonomía
ü Capacidad para entender el fin de dicho tratamiento
ü Explicación de las consecuencias que conlleva el tratamiento
Esta valoración no se llevará a cabo por parte exclusiva de LA EMPRESA, sino que, por el
contrario, todo Responsable, Encargado o tercero involucrado en el tratamiento de los datos
personales de menores de edad, deberá velar siempre por el uso adecuado de este tipo de datos
personales.
10. TRANSMISIÓN DE DATOS PERSONALES A TERCEROS:


LA EMPRESA no comunicará los Datos Personales de los Titulares a terceros sin antes obtener su previo
consentimiento, salvo que:
a. La transmisión de sus datos fuese necesaria para la prestación efectiva y cumplimiento del
servicio adquirido y/o las finalidades para las cuales dichos Datos Personales le fueron
suministrados por el Titular;
b. Exista autorización expresa del Titular para hacerlo;
c. Sea necesaria para permitir a los contratistas o agentes prestar los servicios encomendados;
d. Sea necesario para permitir que terceros que prestan servicios de mercadeo en nombre de LA
EMPRESA o a otras entidades con las cuales tenga acuerdos de mercado conjunto; y
e. Sea requerido o permitido por la ley.
En ese sentido, en atención a que, para la consecución del objeto social de la EMPRESA, este última
requerirá y en efecto estará autorizada por los Titulares de Datos Personales para transmitir los Datos a
Responsables o Encargados ubicados dentro o fuera del territorio de la República de Colombia, siempre
y cuando el motivo de la transmisión sea la consecución de la finalidad misma por la cual el Titular
autorizó su Tratamiento, se prevé la obligación de incluir en el respectivo contrato de Transmisión de
Datos Personales a celebrarse con los terceros, las mismas obligaciones a cargo de LA EMPRESA
previstas en esta Política pero aplicables al respectivo tercero, incluyendo pero sin limitarse:
(i) Los alcances de la obligación del Encargado para el Tratamiento de Datos Personales.
(ii) Las actividades que el Encargado deberá realizar por cuenta de la EMPRESA para el
Tratamiento de los Datos Personales.
(iii) Las obligaciones del Encargado con respecto al Titular y la EMPRESA.
(iv) La obligación del Encargado de dar cumplimiento a las obligaciones contempladas en el
Aviso de Privacidad y el Manual Interno de Políticas y Procedimientos de la EMPRESA.
(v) La obligación del Encargado de realizar el Tratamiento de los Datos Personales de acuerdo
con las Finalidades autorizadas por los Titulares y con legislación aplicable.
(vi) La obligación del Encargado de dar Tratamiento, por cuenta del Responsable, a los Datos
Personales conforme a los principios que los tutelan.
(vii) La obligación del Encargado de salvaguardar la seguridad de las Bases de Datos en los que
se contengan Datos Personales.
(viii) La obligación del Encargado de guardar confidencialidad respecto del Tratamiento de los
Datos Personales.


11. TRANSFERENCIA DE DATOS PERSONALES A TERCEROS:
Bajo el entendido de que la EMPRESA podrá eventualmente transferir Datos Personales de los
Titulares para la consecución de su objeto social y en cumplimiento con la finalidad indicada en la
autorización otorgada por parte de los Titulares, se prevé que en concordancia con el artículo 26 de
la Ley 1581 de 2012, se prohíbe la Transferencia de Datos Personales de cualquier tipo a países que
no proporcionen niveles adecuados de protección de datos. Para el efecto, se entiende que un país
ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la
Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser
inferiores a los exigidos por la Ley 1581 de 2012.
Esta prohibición no regirá cuando se trate de:
(i) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca
para la Transferencia.
(ii) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por
razones de salud o higiene pública.
(iii) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
(iv) Transferencias acordadas en el marco de tratados internacionales en los cuales la República
de Colombia sea parte, con fundamento en el principio de reciprocidad.
(v) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable
del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente
con la Autorización del Titular.
(vi) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.


12. ÁREA DE LA EMPRESA A CARGO DEL TRATAMIENTO DE DATOS
PERSONALES:

El Área de Gestión Administrativa de POPULI será la responsable de atender las peticiones, quejas y
reclamos que formule el titular del dato en ejercicio de los derechos contemplados en la presente
POLÍTICA.
Asimismo, es el responsable interno de la actualización y divulgación de la POLÍTICA, de manera que
cualquier cambio que se haga debe ser aprobado por el mismo. Si usted, como titular de datos personales,
no está de acuerdo con los cambios efectuados en la misma, y/o requiere ejercer algunos de sus derechos
de Habeas Data, podrá hacerlo a través de los siguientes canales de contacto:
• Correo electrónico: protecciondedatos@agenciapopuli.com
• Oficina Domicilio Principal: Vía 40 369-111 Of. 504. Barranquilla – Colombia
• Teléfono: (605) 3852413,


13. OFICIAL DE TRATAMIENTO DE DATOS PERSONALES DE LA EMPRESA:
El gerente del Área de Gestión Administrativa de POPULI asumirá el rol de Oficial de Tratamiento de
Datos Personales, quien será el responsable de atender las peticiones de acceso, rectificación,
actualización, supresión de datos o revocatoria del consentimiento o Autorización otorgada para el
Tratamiento de sus Datos Personales o cualquier otra consulta, queja, reclamación, entre otros.
El Oficial de Tratamiento de Datos Personales, tendrá como funciones principales, velar por la
implementación efectiva de la presente POLÍTICA y los procedimientos adoptados por la EMPRESA
para dar cumplimiento al régimen colombiano de Tratamiento y Protección de Datos Personales, y
hacerse cargo de la estructuración, diseño y administración del respectivo programa integral de gestión
de Datos Personales, las medidas de seguridad a implementarse y demás obligaciones a cargo de la
EMPRESA para el cabal cumplimiento de lo dispuesto en la normativa colombiana sobre la materia.
En ese sentido, el Oficial de Tratamiento de Datos Personales de LA EMPRESA estará a cargo de:
(i) Gestionar el adecuado trámite que deberá surtir cualquier reclamo que, de conformidad con
lo establecido en la presente Política, formulen los Titulares;
(ii) Verificar que la información recibida por parte del Titular sea suficiente para poder dar la
respectiva respuesta;
(iii) Evaluar la necesidad de prorrogar el plazo para dar respuesta a las peticiones, quejas o
reclamos formulados;
(iv) Canalizar la reclamación al interior de la EMPRESA según corresponda para darle tramite
con la mayor celeridad y eficiencia posible;
(v) Proyectar la respuesta a la petición, queja o reclamo formulado a la EMPRESA con ocasión
al Tratamiento de Datos Personales;
(vi) Enviar las respuestas a los Titulares en los términos previstos en la Ley, en la presente Política
y en el Manual de Políticas y Procedimientos de la EMPRESA.
(vii) Ordenar y hacerle seguimiento a la inclusión de advertencias en las Bases de Datos de la
EMPRESA frente a reclamaciones o asuntos bajo discusión extrajudicial judicial;
(viii) Asegurar el cumplimiento de la presente Política;
(ix) Apoyado en el área de tecnología e informática de LA EMPRESA, estructurar, diseñar y
administrar un programa integral de gestión de Datos Personales en línea con las indicaciones
que para el efecto apruebe el respectivo órgano social de LA EMPRESA y su representante
legal, con el fin de dar estricto cumplimiento y garantizar la protección de los Datos
Personales bajo su responsabilidad o conocimiento con ocasión del ejercicio de su objeto
social;
(x) Elaborar junto con el Oficial de Seguridad de la Información, la Política de Sistema de
Gestión de Seguridad de la Información.
(xi) Supervisar el cumplimiento de las funciones del Oficial de Seguridad de la Información y en
general las medidas preventivas, correctivas y reactivas adoptadas por las áreas de archivo y
gestión documental, y tecnología e informática de LA EMPRESA.
(xii) Mantener informada al representante legal de LA EMPRESA, del estado de avance en la
implementación del programa integral de gestión de Datos Personales, mediante la entrega
de reportes en donde se presente el detalle pormenorizado de las actividades realizadas, las
pendientes, el tiempo en que cada una de ellas se llevará a cabo y los recursos requeridos para
ese fin;
(xiii) Implementar un programa de formación en protección de Datos Personales al interior de la
EMPRESA y velar por la realización de actividades de capacitación permanente de sus
colaboradores directos e indirectos.
(xiv) Supervisar el entrenamiento de nuevos colaboradores en el adecuado Tratamiento de Datos
Personales y en especial, las obligaciones particulares que deberá cumplir en razón de su cargo
en beneficio de los Titulares.
(xv) Auditar el cumplimiento de las distintas áreas de LA EMPRESA respecto del adecuado
cumplimiento del régimen colombiano de Tratamiento de Datos Personales, de aquello
dispuesto en esta Política y demás documentos vinculantes que se deriven de la
implementación del programa integral de gestión de Datos Personales.
(xvi) Desarrollar, con el apoyo del área de tecnología e informática de la EMPRESA, los controles
que sean requeridos para garantizar la implementación y efectividad del mencionado
programa integral de gestión de Datos Personales y el estricto cumplimiento de las
obligaciones a cargo de la EMPRESA bajo el régimen colombiano aplicable a la materia de
Tratamiento y Protección de Datos Personales.
(xvii) Coordinar y promover la definición e implementación de un sistema de administración de
riesgos de la EMPRESA asociados al Tratamiento de Datos Personales.
(xviii) Coordinar y promover la definición e implementación de controles del programa integral de
gestión de Datos Personales.
(xix) Servir de enlace y coordinar con las demás áreas de la EMPRESA, la implementación
transversal del programa integral de gestión de Datos Personales.
(xx) Mantener el inventario de Bases de Datos Personales de la EMPRESA permanentemente
actualizado.
(xxi) Validar la creación de Bases de Datos Personales y registrarlas en el Registro Nacional de
Bases de Datos de la Superintendencia de Industria y Comercio en caso de que se cumplan
con los requisitos para que dicha obligación le sea exigible a la EMPRESA.
(xxii) Actualizar la información del Registro Nacional de Bases de Datos siempre que a ello haya
lugar de conformidad con la ley aplicable, función que incluye la gestión de reportes de
incidentes de seguridad ante la Superintendencia de Industria y Comercio en caso de que se
presenten.
(xxiii) Administrar los contratos de transferencia internacional de Datos Personales o gestionar las
declaraciones de conformidad, según sea necesario en virtud del Registro Nacional de Bases
de Datos.
(xxiv) Atender las consultas que se formulen al interior de la organización respecto del programa
integral de gestión de Bases de Datos y el régimen colombiano de Tratamiento y Protección
de Datos Personales.
(xxv) Atender las visitas de la Superintendencia de Industria y Comercio relacionadas con la
supervisión del régimen colombiano de Tratamiento y Protección de Datos Personales al
interior de la EMPRESA.
14. EJERCICIO DE LOS DERECHOS DE LOS TITULARES DEL DATO PERSONAL
ANTE LA EMPRESA:
El Titular del Dato Personal o quien ejerza su representación podrá enviar su petición, queja o reclamo
de lunes a viernes de 8:00 a.m a 5:00 p.m al correo electrónico
protecciondedatos@agenciapopuli.com, llamar a la línea telefónica (605) 3852413, o radicarla en la
Vía 40 #69-111 Of 504 en la ciudad de Barranquilla, Atlántico.
14.1. FORMAS DE EJERCER EL DERECHO DE HABEAS DATA:
a. A nombre propio: Usted como titular de datos personales que se encuentren almacenados
en bases de datos y/o archivos de LA EMPRESA, tendrá derecho a conocer, actualizar,
acceder, rectificar, suprimir, solicitar prueba de autorización otorgada, ser informado
respecto del uso de sus datos, revocar la autorización otorgada.
b. A través de apoderado: Este derecho puede ejercerse por el interesado debidamente
identificado o por el apoderado del titular de la información personal (se debe adjuntar copia
del poder con la solicitud). Si se llegare a presentar la solicitud por parte de una persona que
no fuese el titular de la información personal, sin cumplir con la presentación del documento
idóneo que sustente la representación, ésta se tendrá como no presentada y no se dará
respuesta a dicho requerimiento.
c. Ejercicio del derecho de menores de edad: Los menores de edad deberán ejercer su
derecho de Habeas Data a través de quien acredite su representación legal.
14.2. PROCEDIMIENTO PARA EJERCER EL DERECHO DE HABEAS DATA:
a. Reclamos:
De conformidad con lo establecido en el Artículo 14 de la Ley 1581 de 2012, cuando el Titular que
considere que la información contenida en una base de datos de LA EMPRESA debe ser objeto de
corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los
deberes contenidos en Ley 1581 de 2012, podrá presentar un reclamo ante el responsable o el encargado
del tratamiento el cual será tramitado bajo las siguientes reglas:
(i) La petición, queja o reclamo deberá contener la identificación del Titular, la descripción de
los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se
quiera hacer valer.
(ii) Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (10) días
siguientes a la recepción del reclamo para que subsane las fallas.
(iii) Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente
la información requerida, se entenderá que ha desistido del reclamo.
(iv) En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a
quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación
al interesado.
(v) Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga
“reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles.
Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
(vi) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir
del día siguiente a la fecha de su recibo.
(vii) Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al
interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en
ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer
término.
b. Consultas:
Los Titulares de Daros Personales que deseen realizar consultas, deberán formularla a través de los
canales habilitados por LA EMPRESA, conforme las siguientes reglas:
(i) Será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha
de recibo de la solicitud.
(ii) Cuando no fuere posible atender la consulta dentro de dicho término, se informará al
interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su
consulta, que en ningún caso podrá superar los cinco (5) días hábiles siguientes al
vencimiento del primer término, sin perjuicio de las disposiciones contenidas en leyes
especiales o reglamentos expedidos por el Gobierno Nacional que podrán establecer
términos inferiores, atendiendo a la naturaleza del dato personal.
(iii) LA EMPRESA suministrará a dichas personas toda la información contenida en el registro
individual o que esté vinculada con la identificación del titular.
15. MEDIDAS DE SEGURIDAD Y SISTEMA DE GESTIÓN DE RIESGOS:
En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, POPULI adoptará las
medidas técnicas, humanas y administrativas que sean necesaria para otorgar niveles de seguridad a
los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
En ese sentido, el personal que realice el tratamiento de los Datos Personales tratados por LA
EMPRESA, ejecutará los protocolos establecidos con el fin de garantizar la seguridad de la
información, de acuerdo con el estado de la tecnología, el tipo y naturaleza de los datos que se
encuentran en nuestras bases de datos y los riesgos a que están expuestos.
La EMPRESA adoptará todas las medidas organizacionales, físicas y electrónicas posibles para
garantizar la seguridad de sus Bases de Datos, haciendo la salvedad de que no está obligado a que los
servidores y el data center tenga ubicación física única y exclusivamente en Colombia, toda vez que su
actividad comercial eventualmente podrá realizarse en otras jurisdicciones.
Al respecto, se establecen las siguientes directrices a ser cumplidas por la persona a cargo de la
implementación de las presentes medidas de seguridad y sistema de gestión de riesgos a cargo, quien
se denomina el Oficial de Seguridad de la Información que se designará para el efecto y se expone en
el siguiente artículo:
(i) Las Bases de Datos que reposen en archivos físicos se guardarán bajo llave y serán de acceso
restringido, de tal forma que sólo los funcionarios autorizados por la EMPRESA podrán
administrarlas u otorgar autorización escrita o verbal para su Tratamiento. En ninguna
circunstancia, un funcionario no autorizado por la EMPRESA podrá ejercer Tratamiento
alguno sobre estas Bases de Datos. Todo esto quedará especificado en el manual interno de
seguridad de la información y gestión de riesgos de la EMPRESA, el cual hará parte integral de
la presente Política.
(ii) Las Bases de Datos que se encuentran en archivos electrónicos se guardarán en carpetas, nubes,
medios magnéticos y demás herramientas tecnológicas con claves de acceso y su administración
y acceso estará restringido, de tal forma que sólo los funcionarios autorizados por la EMPRESA
podrán administrarlas u otorgar autorización escrita o verbal para su Tratamiento. En ninguna
circunstancia, un funcionario no autorizado por la EMPRESA podrá ejercer Tratamiento
alguno sobre las Bases de Datos. Todo esto quedará especificado en el manual interno de
seguridad de la información y gestión de riesgos de la EMPRESA, el cual hará parte integral de
la presente Política.
(iii) En caso de que un tercero no autorizado requiera acceder a una Base de Datos de la EMPRESA
deberá solicitar autorización expresa al administrador de dicha Base de Datos, quién decidirá si
la otorga o no, de acuerdo con el caso concreto y la finalidad misma de dicha solicitud, siempre
que con ella no se afecten los derechos de sus Titulares. En caso de otorgar la autorización
solicitada, el administrador deberá registrar el tercero que accedió a la información, el tiempo
durante el cual lo hizo y su respectiva finalidad. Igualmente, si se accedió a la información
remotamente, es decir, fuera de las instalaciones de la oficina o del sitio donde se encuentra el
archivo de las Bases de Datos, se deberá registrar la fecha y hora en la que inició el Tratamiento
y la fecha y hora en la que éste finalizó.
(iv) Periódicamente, el área administrativa de la EMPRESA enviará cuestionarios al
administrador(es) de las Bases de Datos para identificar las políticas que han implementado en
pro de la protección de la información de la cual han sido encargados, con el objetivo de
identificar si las directrices del presente documento se están cumpliendo a cabalidad y si es
necesario realizar algún ajuste, capacitación o implementar cualquier tipo de medida correctiva
o preventiva.
(v) Cualquier incidente que se presente en relación con la seguridad de las Bases de Datos debe ser
avisado de manera inmediata al área administrativa de la EMPRESA, quien estará encargada de
identificar, junto con el personal de ingeniería de sistemas o seguridad, la razón del incidente,
la información afectada, los Titulares afectados, el tipo de afectación ocasionada con dicho
incidente, y los riesgos actuales y futuros que se estén presentando. Así mismo, dicha área
deberá informar a la Superintendencia de Industria y Comercio sobre el incidente ocurrido y la
solución ejecutada o por ejecutarse, en un término no mayor a dos (2) días hábiles después de
la ocurrencia del incidente.
(vi) Diez (10) días hábiles después de que se presente el incidente, el área administrativa de la
EMPRESA informará a la Superintendencia de Industria y Comercio y a la persona encargada
de administrar las Bases de Datos, incluyendo el Oficial de Tratamiento de Datos Personales
de LA EMPRESA, el detalle del incidente arriba comentado, incluyendo las causas del
incidente, la solución que se ejecutó y las políticas de prevención que se implementarán en el
futuro a causa del suceso.
(vii) Si culmina la finalidad por la cual se estaba tratando un Dato Personal, el mismo deberá ser
suprimido de las bases de datos de la EMPRESA, siempre que el Titular haya solicitado la
revocatoria de la autorización o la supresión de sus Datos Personales para excluir su
información de las Bases de Datos, de conformidad con el artículo 8 de la Ley 1581 del 2012.
De lo contrario, la EMPRESA podrá seguir tratando dichos Datos Personales para las
finalidades autorizadas en este Política que hará parte integral de la respectiva Autorización
como, por ejemplo, para fines publicitarios, de estadísticas, comerciales, entre otros.
PARÁGRAFO. – OBLIGACIÓN DE ESTRICTA RESERVA Y CONFIDENCIALIDAD: Los
datos personales que obtenga LA EMPRESA a través de cualquier formato, contrato, comunicación
física o electrónica, serán tratados con total reserva y confidencialidad, comprometiéndose a guardar el
debido secreto respecto de los mismos y garantizando el deber dealmacenarlos adoptando medidas
necesarias que eviten su alteración, pérdida y tratamiento o acceso no autorizado de acuerdo con lo
establecido en la legislación aplicable. Para tales efectos, todos los empleados y proveedores de LA
EMPRESAacuerdan tratar bajo reserva y estricta confidencialidad toda la información que se trate en
la EMPRESA en el ejercicio de su actividad comercial, salvo que deban ser revelados, enviados,
comunicados, transferidos, transmitidoso compartidos a terceros precisamente para los fines mismos
autorizados por los Titulares para el Tratamiento de sus Datos Personales. La presente cláusula de
confidencialidad continuará vigente, incluso cuando finalice el vínculo entre eltercero y laEMPRESA,sin
perjuicio de la excepción arriba mencionada o aquellos casos contempladosen la norma en los que no se
requiere deAutorización de losTitulares.


16. PERSONA Y ÁREA DE LA EMPRESA A CARGO DE LAS MEDIDAS DE
SEGURIDAD DE LA INFORMACIÓN Y SISTEMA DE GESTIÓN DE RIESGOS:


Con el fin de cumplir los principios aplicables al Tratamiento de Datos Personales y garantizar a sus
Titulares, la seguridad y confidencialidad de la información que suministra o suministrará a LA
EMPRESA, esta última designa un Oficial de Seguridad de la Información que hace parte del área
administrativa de LA EMPRESA y particularmente, de la sección de archivo y gestión documental, quien
trabajará con el personal del área de tecnología e informática de LA EMPRESA para el cumplimiento de
las actividades a su cargo:
Las funciones principales del Oficial de Seguridad de la Información se describen a continuación y serán
supervisada por el Oficial de Tratamiento/Protección de Datos Personales:
a. Elaborar, liderar e implementar una Política de Sistema de Gestión de Seguridad de la
Información.
b. Dar estricto cumplimiento a las medidas de seguridad y sistema de gestión de riesgos descrito en
el artículo anterior.
c. Planear, coordinar y administrar los procesos de seguridad de la información de LA EMPRESA.
d. Brindar capacitación y socializar los deberes y políticas de LA EMPRESA para garantizar el
conocimiento y respeto por parte de todos.
e. Liderar la gestión de riesgos de seguridad y las medidas tecnológicas requeridas para ello bajo su
supervisión.
f. Implementar la creación de credenciales, accesos seguros y controles preventivos con el fin de
evitar ingresos fraudulentos a las bases de datos de LA EMPRESA.
g. Adoptar herramientas de control, monitoreo y seguimiento del cumplimiento de los estándares
de seguridad.
h. Acompañar e impulsar el desarrollo de proyectos de seguridad al interior de LA EMPRESA.
i. Asistir al Oficial de Tratamiento/Protección de Datos Personales en la atención de los eventuales
incidentes de seguridad que llegasen a presentarse en LA EMPRESA.


17. FECHA DE ENTRADA EN VIGENCIA:


La presente POLÍTICA fue creada y entró en vigencia desde el 2 de Enero del 2017, para todos los Datos
Personales que recolecta, utiliza y almacena la EMPRESA, desde la fecha de la Autorización otorgada
por el Titular para el Tratamiento de sus Datos hasta que así lo disponga el Titular. Esta POLÍTICA ha
sido actualizada conforme la regulación aplicable a la materia de Tratamiento de Datos Personales.
De conformidad con lo dispuesto en el numeral 3 del artículo 10 del Decreto Reglamentario 1377 de
2013 POPULI procederá a publicar un aviso en su(s) página(s) web dirigido a los titulares de datos
personales para efectos de dar a conocer la presente POLÍTICA.


18. MODIFICACIONES A LA POLÍTICA:


LA EMPRESA informa a todos los Titulares cuyos datos sean tratados por la misma que se reserva el
derecho a efectuar en cualquier momento, modificaciones o actualizaciones a esta POLÍTICA, de
manera que en dicho evento, la respectiva modificación estará disponibles al público oportunamente a
través de los canales dispuestos, la página web www.agenciapopuli.com y los Sistemas Informáticos
dispuestos por LA EMPRESA , con el fin de mantener a todos los titulares de datos personales,
informados y actualizados sobre las condiciones de uso de su información personal.
En caso de que los cambios sean sobre las finalidades autorizadas por los Titulares, LA EMPRESA
procederá a informar al Titular a través de alguno de sus Sistemas Informáticos, correo electrónico o
canales de atención, con el fin de obtener una nueva Autorización para el Tratamiento de sus Datos por
parte de sus Titulares en cumplimiento con los consagrado en la normativa colombiana aplicable a la
materia.
Última actualización: 25 de abril de 2023

POPULI S.A.S.

NIT: 900.828.287-6
Domicilio: Vía 40 #69-111 Of. 504. Barranquilla – Colombia
Teléfono: (605) 385 2413
Correo electrónico: protecciondedatos@agenciapopuli.com
Página web: www.agenciapopuli.com 

Scroll to Top