POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE SMARTFASTPAY

SMARTFASTPAY TEC & SERVE S.A.S.

NIT: 901.547.645 – 7

Domicilio principal: Bogotá D.C.

Dirección electrónica: leo@smartfastpay.com

Teléfono: 3204540697.

Correo electrónico para atención de titulares: dpo@smartfastpay.com

Nombre y cargo del Oficial de Protección de Datos Personales (OPD): Fernando Arenas Molinet – Country Manager Colombia.

Esta Política será aplicada a todos los Datos Personales y/o archivos o cualquier otro tipo de información que sea utilizado o repose en las Bases de Datos de SmartFastPay y que sean objeto de Tratamiento por su parte como Responsable del Tratamiento de Datos Personales.

La Política garantiza el respeto por los criterios para la obtención, recolección, uso, Tratamiento, procesamiento, intercambio, Transferencia y Transmisión de Datos Personales, y fija las responsabilidades de SmartFastPay y de sus empleados en el manejo y Tratamiento de los Datos Personales que reposen en sus Bases de Datos.

Se comprenderá que cualquier término definido en singular también incluirá su forma plural y viceversa, a menos que el sentido del texto exija una interpretación diferente.

3.1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

3.2. Autoridad de Protección de Datos: Es la Superintendencia de Industria y Comercio.

3.3. Aviso de Privacidad: Es el documento físico, electrónico o en cualquier otro formato conocido o por conocer, que es puesto a disposición del Titular con el fin de informar sobre el Tratamiento de sus Datos Personales. En el Aviso de Privacidad se comunica a los Titulares la información relativa a la existencia de las políticas de Tratamiento de información que serán aplicables, la forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los Datos Personales.

3.4. Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.

3.5. Comercio: Persona jurídica, con la cual SmartFastPay tiene relación de asociación comercial establecida.

3.6. Consentimiento: es una manifestación de la voluntad, informada, libre e inequívoca, a través de la cual el Titular de los datos de carácter personal acepta que un tercero utilice su información.

3.7. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

3.8. Dato sensible: Son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

3.9. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.

3.10. Habeas Data: Derecho que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

3.11. Plataforma: Herramienta desarrollada y comercializada por SmartFastPay.

3.12. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

3.13. Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

3.14. Transmisión: se refiere a la comunicación de datos personales por parte del Responsable al Encargado, ubicado dentro o fuera del territorio nacional, para que el Encargado, por cuenta del Responsable, trate datos personales;

3.15. Transferencia: se refiere al acto del Responsable del Tratamiento y/o Encargado del Tratamiento, ubicado en Colombia, de enviar la información o los datos personales a un receptor que también es Responsable de Tratamiento y se encuentra dentro o fuera del país.

3.16. Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

3.17. Usuarios: Es la persona natural, jurídica o patrimonio autónomo, que utiliza los servicios de SmartFastPay para ejecutar órdenes de pago o transferencia de fondos.

3.18. Violación de la seguridad de Datos Personales: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los Datos Personales conservados o tratados, o la comunicación o acceso no autorizado a dichos datos.

3.19. Principio de notificación: Los titulares serán informados oportunamente sobre cualquier cambio sustancial en la presente política antes de su entrada en vigor, a través de los canales habituales de comunicación y la página web de SmartFastPay.

4.1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento de los Datos Personales se efectuará dentro del marco legal vigente y de acuerdo con la Autorización que otorgue el Titular.

4.2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al Titular.

4.3. Principio de libertad: El Tratamiento sólo puede ejercerse con el Consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa Autorización, o en ausencia de mandato legal o judicial que releve el Consentimiento.

4.4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

4.5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

4.6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.

4.7. Principio de seguridad: La información sujeta a Tratamiento por el Responsable o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

4.8. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.

4.9. Principio de minimización de datos: El Tratamiento de los Datos Personales será adecuado, pertinente y limitado a lo necesario en relación con los fines para los que son tratados.

4.10. Principio de limitación del plazo de conservación: El Tratamiento de los Datos Personales, se efectuarán durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justifiquen el Tratamiento. Una vez cumplidas las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, se procederá a la supresión de los Datos Personales suministrados.

La Política está dirigida a todas las personas naturales cuyos Datos Personales se encuentren incluidos en las Bases de Datos de SmartFastPay.

SmartFastPay asume que la voluntad del Titular de no suministrar información de naturaleza indispensable responde a su desistimiento de la relación que tenga con SmartFastPay.

Los Datos Personales proporcionados por el Titular a SmartFastPay serán almacenados en las Bases de Datos de SmartFastPay a la cual autorizan expresamente, para que sus empresas vinculadas, afiliadas, matrices, subordinados y/o aliados estratégicos sean los Encargados del Tratamiento y cumplan con alguna o varias de las siguientes finalidades:

A. Confirmar la identidad de los Usuarios para garantizar la seguridad y autenticidad de las transacciones.

B. Mejorar la seguridad de las transacciones futuras, identificando preferencias del Usuario, enviando notificaciones sobre el estado de solicitudes y emitiendo contenido promocional relevante.

C. Transmitir los Datos Personales con el Encargado del Tratamiento para que lo gestione adecuadamente.

D. Realizar estudios estadísticos sobre los gustos y las preferencias del Usuario.

E. Prevenir el fraude y los riesgos financieros relativos al lavado de activos y a la financiación del terrorismo.

F. Verificar información financiera y crediticia en centrales de riesgo.

G. Corroborar los datos suministrados por los Usuarios.

H. Informar a las centrales de riesgo sobre el cumplimiento de las obligaciones financieras.

I. Cumplir con las obligaciones surgidas o en relación con requerimientos de las autoridades judiciales o administrativas.

J. Proteger a los Usuarios de los delitos electrónicos al verificar la autenticidad de las operaciones.

K. Facilitar la resolución de disputas o reclamaciones relacionadas con las transacciones.

L. Conservar registros de las transacciones para soportar procesos de auditoría interna y externa.

M. Proteger datos sensibles.

N. Realizar los registros contables y tributarios.

O. Efectuar reportes a autoridades de vigilancia y control.

P. Dar cumplimiento de las obligaciones contraídas con los Comercios.

Q. Enviar la información a entidades gubernamentales o judiciales por solicitud expresa de las mismas.

R. Cualquier otra finalidad que resulte del desarrollo de la transacción o de la relación existente entre el Usuario y SmartFastPay.

En consecuencia, para llevar a cabo las finalidades descritas, SmartFastPay podrá:

A. Conocer, almacenar, gestionar y procesar toda la información que los Titulares proporcionen.

B. Ordenar, catalogar, clasificar, dividir o separar la información suministrada por los Titulares de tal manera que se pueda obtener un acceso ágil y una mejor administración de la información.

C. Verificar, corroborar, comprobar, validar, investigar o comparar la información suministrada por los Titulares.

D. Acceder, consultar, comparar y evaluar toda la información que sobre los titulares se encuentre almacenada en las bases de datos de cualquier central de riesgo crediticio, financiero, de antecedentes judiciales o de seguridad legítimamente constituida, de naturaleza estatal o privada, nacional o extranjera.

En la siguiente tabla se presentan las categorías de información personal que SmartFastPay puede recolectar:

Categorías de Información

Incluye información como:

Información de identidad y contacto

Nombre completo, tipo y número de documento de identidad (cédula de ciudadanía, cédula de extranjería, pasaporte), correo electrónico, número de teléfono, dirección de residencia o establecimiento comercial.

Información de transacciones y pagos.

Datos de transacciones procesadas, montos, fechas, información bancaria necesaria para procesamiento de pagos, datos requeridos por proveedores de servicios de pago.

Información comercial. Direcciones IP, logs de acceso a la plataforma, información técnica necesaria para el funcionamiento y seguridad del sistema (cuando aplique).

Información para cumplimiento regulatorio.

Datos necesarios para prevención de fraude, cumplimiento de obligaciones SARLAFT, verificación de identidad y reportes a autoridades competentes.

Dependiendo de la relación que tenga el Titular con SmartFastPay (por ejemplo, Comercio, Usuario, cliente, proveedor o aliado comercial) y la forma en que interactúe con la empresa (telefónicamente, en línea o a través de la plataforma), SmartFastPay podrá recolectar, usar, recibir, almacenar, analizar, combinar, transferir, eliminar o tratar de otro modo diferentes categorías de información personal. En consecuencia, SmartFastPay almacenará los datos en la base de datos correspondiente en Google Cloud, dependiendo del tipo de Tratamiento.

a) Proceso de vinculación de Comercios para el uso de los servicios de pasarela de pagos.

SmartFastPay podrá compartir información personal con terceros externos necesarios para el funcionamiento de su plataforma y el cumplimiento de sus obligaciones legales, dentro de los cuales se encuentran:

(i) Proveedores de servicios de pago y otros procesadores con los cuales SmartFastPay tiene relación contractual para facilitar las transacciones de los Usuarios;

(ii) Proveedores de infraestructura tecnológica que proporcionen servicios de almacenamiento y procesamiento de datos con estándares de seguridad apropiados;

(iii) Aliados tecnológicos y comerciales con los que SmartFastPay tiene una relación contractual, los cuales solo acceden a la información necesaria para prestar los servicios encomendados y no pueden usarla para finalidades distintas a las acordadas.

b) Divulgación de información para cumplimiento regulatorio y prevención de fraude.

SmartFastPay podrá compartir datos personales con terceros, sujeto a las disposiciones legales aplicables a la transmisión nacional e internacional de datos personales, dentro de los siguientes casos:

(i) Entidades gubernamentales tales como autoridades administrativas, Superintendencia Financiera de Colombia, entidades de impuestos, organismos de vigilancia y control y autoridades judiciales, cuando sea necesario para atender requerimientos legales, procesos jurisdiccionales o cumplir con obligaciones SARLAFT;

(ii) Proveedores de servicios de seguridad ubicados en Colombia o en el exterior, quienes proporcionan servicios de detección y prevención de fraude, análisis de riesgo de transacciones y herramientas antifraude;

(iii) Personal autorizado de SmartFastPay, desarrolladores autorizados y personal directivo, quienes tienen acceso controlado mediante credenciales de seguridad y sistemas de permisos restringidos.

c) Medidas de protección para la divulgación de información.

En todos los casos de transmisión de información personal, SmartFastPay:

(i) Verificará que los terceros cuenten con medidas de seguridad adecuadas para la protección de los Datos Personales;

(ii) Suscribirá contratos de confidencialidad cuando corresponda;

(iii) Limitará el acceso a la información estrictamente necesaria para la prestación del servicio acordado;

(iv) Implementará controles para evitar el uso no autorizado de la información compartida.

d) Limitación de responsabilidad por tratamiento de terceros.

SmartFastPay no ejerce control sobre sitios web de terceros (incluyendo comercios afiliados, proveedores de servicios de pago y otras plataformas) y no asume responsabilidad alguna por el tratamiento que en ellos se le dé a la información personal de los Titulares. Cada tercero es responsable de implementar sus propias políticas de protección de datos conforme a la normatividad aplicable.

De conformidad con el artículo 25 de la Ley 1581 de 2012 y sus decretos reglamentarios, Smartfastpay registrará sus bases de datos junto con la presente Política en el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio, de conformidad con el procedimiento establecido para el efecto.

En concordancia con lo descrito en el artículo 9 de la Ley 1581 de 2012, SmartFastPay, como Responsable del Tratamiento adoptará procedimientos para solicitar, a más tardar en el momento de recolección de los Datos Personales, la Autorización para el Tratamiento de estos e informará cuáles son los Datos Personales que serán recolectados, así como las finalidades específicas del Tratamiento.

Tratándose de Datos Personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, se considerará que estos podrán ser tratados por SmartFastPay de manera libre y autónoma, siempre y cuando, por su naturaleza, sean datos de carácter público.

Para el Tratamiento de los Datos Personales, SmartFastPay informará previamente a los Titulares qué Datos Personales requiere y el motivo por el cual los solicita, entendiendo que dicha finalidad estará siempre relacionada con las actividades derivadas de la relación vigente entre las partes y del desarrollo del objeto social de SmartFastPay, de conformidad con lo establecido en la Política.

En lo correspondiente al modo de obtener la Autorización, SmartFastPay recolectará la información correspondiente a Datos Personales de manera escrita, a través de los formatos y textos que se establezcan para el efecto, bien sea de forma física o por medios electrónicos asegurando en todo caso, conservar la prueba de la Autorización para su posterior consulta por parte del Titular. Cuando resulte pertinente, la Autorización se podrá incluir en los contratos a suscribirse con terceros Titulares de Datos Personales a los que se les aplica La Política.

8.1. La Autorización deberá contener la siguiente información:

8.1.1. La identificación del Responsable del Tratamiento

8.1.2. El tipo de Datos Personales que serán objeto de Tratamiento.

8.1.3. La finalidad para la que serán tratados los Datos Personales.

8.1.4. Los derechos de los Titulares.

8.1.5. Los canales de comunicación por los cuales los Titulares podrán formular consultas y/o reclamos ante el Responsable del Tratamiento.

8.1.6. La identificación del Oficial de Protección de Datos Personales.

8.1.7. Redireccionamiento a la Política.

8.1.8. En caso de recolectarse datos sensibles, se dejará la aclaración de que el Titular no está en la obligación de dar la Autorización.

8.2. Eventos en los cuales no es necesaria la Autorización:

8.2.1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

8.2.2. Datos de naturaleza pública.

8.2.3. Casos de urgencia médica o sanitaria.

8.2.4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

8.2.5. Datos relacionados con el registro civil de las personas.

SmartFastPay, en su calidad de Responsable del Tratamiento identificará los datos sensibles que eventualmente llegare a recopilar o procesar para cumplir con los siguientes objetivos:

(i) implementar especial atención y reforzar su responsabilidad frente al Tratamiento de este tipo de datos, lo cual se traduce en una exigencia mayor en términos de cumplimiento de los principios y los deberes establecidos por la normatividad vigente en materia de protección de datos;

(ii) establecer los niveles de seguridad técnica, legal y administrativa para tratar esa información de manera adecuada;

(iii) aumentar las restricciones de acceso y uso por parte del personal de SmartFastPay en su calidad de empleadora y de terceros contratistas o proveedores de ésta;

(iv) proceder al Tratamiento de estos datos únicamente bajo estos presupuestos:

A. El Titular haya dado su Autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha Autorización.

B. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su Autorización.

C. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

D. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

E. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

En el Tratamiento de datos sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el Artículo 6° de la Ley 1581 de 2012, SmartFastPay deberá cumplir las siguientes obligaciones:

A. Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.

B. Informar al Titular de forma explícita y previa, además de los requisitos generales de la Autorización para la recolección de cualquier tipo de Dato Personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad de su Tratamiento, y además obtener su consentimiento expreso.

SmartFastPay no realiza de forma directa el Tratamiento de Datos Personales de menores de edad.

Sin embargo, de forma particular la empresa recolecta y trata los Datos Personales de los hijos menores de edad de sus empleados, con la única finalidad de cumplir con las obligaciones que impone la ley a los empleadores en relación con las afiliaciones a sistema de seguridad social y parciales, y en particular para permitir el disfrute de los derechos fundamentales de los niños a la salud y a la recreación.

SmartFastPay hará el Tratamiento de los Datos Personales de niños, niñas y adolescentes respetando siempre los siguientes requisitos:

10.1. Responder y respetar el interés superior de los niños, niñas y adolescentes.

10.2. Asegurar por parte del Responsable del Tratamiento el respeto a sus derechos fundamentales.

10.3. Garantizar que el representante legal del menor otorgue la Autorización, previo el ejercicio de éste de su derecho a ser escuchado.

SmartFastPay recolectará, cuando corresponda, la respectiva Autorización para su Tratamiento, teniendo siempre en presente el interés superior del menor y el respeto de los derechos prevalentes de los niños, niñas y adolescentes.

En todo caso, en el marco de las actividades llevadas a cabo por SmartFastPay, el suministro de los Datos Personales de menores de edad es facultativo y debe realizarse con la anuencia de los padres de familia o representantes legales del menor. Las Autorizaciones de Datos Personales de menores de edad serán otorgadas de manera conjunta por los padres, acudientes, representantes legales o curadores. Por consiguiente, la firma de los padres constituirá la Autorización legal y la suscripción por parte del menor representará su consentimiento sobre la Autorización otorgada por los padres, acudientes, representantes legales o curadores.

Este consentimiento del menor de edad es importante debido a que su opinión deberá ser valorada en el marco del ejercicio de la Autorización y tenida en cuenta en la misma proporción de madurez, autonomía, capacidad y entendimiento del tópico.

La información que consta en las Bases de Datos de SmartFastPay es sometida a distintas formas de Tratamiento, como recolección, intercambio, actualización, procesamiento, reproducción, compilación, almacenamiento, uso, sistematización y organización, todos de forma parcial o total en cumplimiento de las finalidades aquí establecidas. La información podrá ser entregada, Transmitida o Transferida a entidades públicas, socios comerciales, contratistas, afiliados, matrices, subsidiarias y aliados estratégicos siempre y cuando se trate de cumplir con las finalidades referidas en la Política.

SmartFastPay adoptará las medidas técnicas, tecnológicas y administrativas adecuadas que permitan el cuidado y la conservación de los Datos Personales de los Titulares, evitando su alteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

De igual manera, SmartFastPay implementará los mecanismos suficientes para guardar la confidencialidad de la información y se abstendrá de usar la información para fines diferentes a los autorizados.

12.1. Transferencia de Datos Personales.

Si terceros ajenos a SmartFastPay o sus afiliadas, matrices, subsidiarias y/o aliados estratégicos requieren validar, rectificar o confirmar información correspondiente a los Datos Personales de los Titulares contenidos en las Bases de Datos se necesitará de la autorización previa y expresa del Titular para que opere la Transferencia.

SmartFastPay no podrá usar los Datos Personales de los Titulares con propósitos comerciales diferentes a los incluidos en su objeto social y a los servicios allí dispuestos.

12.2. Transmisión de Datos Personales.

Si terceros ajenos a SmartFastPay o sus afiliadas, matrices, subsidiarias y/o aliados estratégicos, requieren, dentro de las finalidades mencionadas, la recolección de la información, podrá SmartFastPay transmitirles los correspondientes Datos Personales de los Titulares si así lo disponen para el cumplimiento del giro ordinario de sus negocios. Sin embargo, para que la Transmisión surta efectos, se requiere la autorización previa y expresa del Titular.

12.3. Transferencias y transmisiones internacionales de datos.

SmartFastPay podrá realizar Transferencias y Transmisiones internacionales de Datos Personales cuando sea necesario para el funcionamiento de su infraestructura tecnológica y la prestación de sus servicios. Estas operaciones internacionales se realizarán únicamente con proveedores que ofrezcan garantías adecuadas de protección de Datos Personales.

Antes de realizar transferencias internacionales de datos personales, SmartFastPay verificará que el país receptor ofrezca un nivel adecuado de protección conforme a la regulación colombiana. En caso contrario, solicitará la autorización previa de la Superintendencia de Industria y Comercio y adoptará las garantías contractuales necesarias.

SmartFastPay protege los Datos Personales que son suministrados por los Titulares, mediante la adopción de directrices y controles encaminados a evitar el acceso, modificación, divulgación o destrucción no autorizada de la información almacenada en sus Bases de Datos.

En cumplimiento de la obligación antes descrita, SmartFastPay adopta los siguientes protocolos:

13.1. Controles en los sistemas de información para garantizar la confiabilidad, integridad y disponibilidad permanente de los Datos Personales.

13.2. Procesos de verificación, evaluación y valoraciones sobre las medidas técnicas y de seguridad adoptadas para la protección de los Datos Personales.

13.3. Protocolos de seguridad para evitar accesos no permitidos a Bases de Datos, almacenadas tanto de forma física como electrónica.

13.4. Implementación y mejoramiento de controles en las instalaciones físicas, para proteger los Datos Personales que se encuentran contenidos de forma física, con el fin de mitigar el efecto nocivo que podría originar la materialización de un riesgo al que se enfrenta los Datos Personales administrados por SmartFastPay.

Los Datos Personales, y otras informaciones tratadas para cualquiera de los objetivos mencionados en la Política, no serán mantenidos por más tiempo del estrictamente necesario para la conclusión de las finalidades a las que se destinen, salvo cuando respaldados por la legislación colombiana de protección de Datos Personales.

Los datos y documentos electrónicos que contengan Datos Personales pueden permanecer retenidos por más tiempo del necesario para sus fines en los casos de obligación legal o regulatoria, reducción del riesgo de fraude, pleno ejercicio del derecho de defensa.

Son derechos de los Titulares de Datos Personales:

15.1. Conocer, actualizar y rectificar sus Datos Personales frente al Responsable del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

15.2. Limitar u oponerse en todo momento, al Tratamiento de sus Datos Personales frente al Responsable o Encargado del Tratamiento. En caso de solicitar la limitación, el Responsable deberá obtener una nueva Autorización por parte del Titular, que se ajuste a la limitación solicitada por este.

15.3. Obtener por parte del Responsable del Tratamiento confirmación de que sus Datos Personales están siendo tratados conforme a los fines autorizados.

15.4. Solicitar al Responsable del Tratamiento, la portabilidad de los Datos Personales que le haya suministrado y a transmitirlos a otro Responsable del Tratamiento.

15.5. Solicitar prueba de la Autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.

15.6. Ser informado por el Responsable o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus Datos Personales.

15.7. Presentar ante la Superintendencia de Industria y Comercio o la Autoridad de Protección de Datos competente, quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.

15.8. Revocar la Autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución. Sin perjuicio de lo anterior, el Titular podrá solicitar la supresión del dato cuando: (i) el Tratamiento ya no sea necesario conforme a los fines por los cuales fueron recopilados; (ii) se revoque la Autorización del Tratamiento; y (iii) se oponga al Tratamiento.

15.9. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

El Titular de los Datos Personales, tendrá derecho a: (i) acceder a los Datos Personales que suministre y a los detalles del Tratamiento de los mismos; (ii) rectificar en caso de que estén incompletos o sean inexactos; (iii) suprimirlos en caso que considere que no se requieren para alguna de las finalidades señaladas en la presente Política o estén siendo utilizados para finalidades que no hayan sido consentidos.

En todo caso, sin perjuicio de las disposiciones establecidas más adelante, cualquier solicitud del Titular en ejercicio de los derechos mencionados deberá proporcionar e indicar: (i) su nombre y domicilio; (ii) una copia del documento de identificación (Cédula de Ciudadanía, Cédula de Extranjería, Pasaporte); (iii) la descripción clara y precisa de los Datos Personales a los que desea acceder o que desea rectificar o suprimir, además de cualquier otro elemento que facilite la localización de sus datos.

16.1. Canales de consultas y reclamos.

Se podrá consultar la información personal del Titular que repose en las Bases de Datos de SmartFastPay, y la empresa se encargará de suministrar toda la información contenida o que esté vinculada con la identificación del solicitante, empleando en todo caso un lenguaje claro y sencillo.

La consulta se realizará por medio de la dirección de correo electrónico dpo@smartfastpay.com.

Una vez recibida por SmartFastPay, será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. La información solicitada por el Titular podrá

ser facilitada por escrito, mediante correo electrónico o por cualquier medio según lo requiera el Titular.

Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la nueva fecha en que se atenderá tal consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

16.2. Reclamos.

Cuando se considere que la información contenida en una Base de Datos de SmartFastPay debe ser objeto de corrección, actualización o supresión, o cuando se advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley de Habeas Data, se podrán presentar reclamación ante SmartFastPay, la cual será tramitada bajo las siguientes reglas:

16.2.1. El reclamo se formulará por medio del correo electrónico dpo@smartfastpay.com, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los diez (10) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

16.2.2. En caso que SmartFastPay reciba un reclamo del cual no sea competente para resolverlo, la empresa dará traslado a quien efectivamente corresponda en un término máximo de cinco (5) días hábiles e informará al Titular.

16.2.3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho plazo, SmartFastPay informará al Titular los motivos de la demora y la nueva fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del plazo.

El Cliente, como Responsable del Tratamiento de Datos Personales, cumplirá con los siguientes deberes:

17.1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

17.2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva Autorización otorgada por el Titular.

17.3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la Autorización otorgada.

17.4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

17.5. De ser aplicable, garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

17.6. De ser aplicable, informar al Encargado del Tratamiento cualquier rectificación, supresión o limitación del Tratamiento que efectúe el Titular.

17.7. Garantizar que solo sea objeto de Tratamiento los Datos Personales que sean necesarios para cada uno de los fines específicos del Tratamiento. De ser aplicable, actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

17.8. Rectificar la información cuando sea incorrecta y comunicar lo pertinente, de ser aplicable, al Encargado del Tratamiento.

17.9. De ser aplicable, suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

17.10. Cuando el Tratamiento sea efectuado por parte de un Encargado, procurar elegir aquel que ofrezca garantías suficientes de conformidad con lo dispuesto en la presente Política de Tratamiento de Datos.

17.11. Suscribir con el Encargado del Tratamiento un acuerdo de confidencialidad y/o el documento que haga sus veces, en virtud del cual se establezcan, sin limitarse a estas, las obligaciones y derechos del Responsable del Tratamiento, el objeto, la duración, la naturaleza, los tipos de Datos Personales a tratar, la finalidad del Tratamiento y el compromiso de tratar los Datos Personales conforme a la Ley y a la presente política.

17.12. De ser aplicable, exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular, así como de sus derechos.

17.13. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.

17.14. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

17.15. Informar, a solicitud del Titular, sobre el uso dado a sus datos.

17.16. Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

17.17. Informar, al momento de solicitarle al Titular la Autorización para el Tratamiento de los Datos Personales, lo siguiente: (i) el Tratamiento al cual serán sometidos sus Datos Personales y la finalidad del mismo; (ii) la facultad de decidir si responde a consultas relacionadas con Datos sensibles o sobre los datos de niñas, niños o adolescentes; (iii) los derechos que le asisten como Titular; y (iv) los datos de identificación, dirección física o electrónica y contacto telefónico del Responsable del Tratamiento.

17.18. Propender por la no ocurrencia de ningún evento de Violación de la seguridad de Datos Personales.

17.19. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

El Titular podrá revocar en cualquier momento el Consentimiento o Autorización dada para el Tratamiento de sus Datos Personales, siempre y cuando no se encuentre un impedimento consagrado en una disposición legal o contractual.

Así también el Titular tiene derecho a solicitar en todo momento a SmartFastPay la supresión o eliminación de sus Datos Personales.

Tal supresión implica la eliminación bien sea de manera total o parcial de la información personal, de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o Tratamientos realizados por SmartFastPay.

El derecho de cancelación no es absoluto y por lo tanto SmartFastPay podrá negar la revocatoria de Autorización o eliminación de los Datos Personales en los siguientes casos:

18.1. El Titular tenga un deber legal o contractual de permanecer en la Base de Datos.

18.2. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.

18.3. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.

En cumplimiento del principio de responsabilidad demostrada, SmartFastPay ha designado internamente a Fernando Arenas Molinet como oficial de protección de Datos Personales (“OPD”), quien estará a cargo de garantizar el cumplimiento de la presente Política y de la legislación colombiana de protección de Datos Personales, así como la implementación de buenas prácticas de gestión de Datos Personales dentro de SmartFastPay. El OPD designado es el responsable interno de la actualización y divulgación de la Política, razón por la cual, cualquier cambio que se haga debe ser aprobado por éste.

Si usted como Titular de Datos Personales no está de acuerdo con los cambios efectuados en la misma, puede ejercer su derecho de Habeas Data mediante los canales y en la forma establecida en la presente Política.

SmartFastPay busca siempre mejorar su operación para garantizar servicios y protecciones de calidad, de modo que, eventualmente, esta Política podrá ser actualizada o modificada unilateralmente por SmartFastPay.

Los cambios que se realicen en la Política se verán reflejados en la página [*]. Cualquier modificación a la Política entrará en vigor un día calendario posterior a su publicación en el sitio web oficial.

La Política se firma y entra en vigencia a partir del primero (1) de agosto de dos mil veinticinco.

___________________________

LEONARDO CHARLESON DE AVIZ LEANDRO

Representante Legal

SMARTFASTPAY TEC & SERVE S.A.S.