CEMENTOS ARGOS S.A. y sus compañías subordinadas (en adelante “ARGOS”) en cumplimiento de lasnormas aplicables sobre recolección y tratamiento de los datos personales (en adelante “DP”), hemosadoptado la siguiente política de seguridad de la información y tratamiento de datos personales, previaslas siguientes consideraciones:

1. Que ARGOS ha venido trabajando en el proceso de regulación del tratamiento de DP bajo el marco de la norma ISO 27001/27002, el cual supone el sometimiento de ARGOS al cumplimiento de la normatividad vigente en materia de protección de DP.

2. Que en cumplimiento de la obligación que tiene ARGOS de mejorar su Sistema de Gestión deSeguridad de la Información dentro de un esquema de Planear- Hacer- Verificar- Actuar, se requiere expedir una norma que establezca las reglas aplicables al tratamiento de DP que estén bajo responsabilidad de ARGOS.

3. Que corresponde tanto a las directivas de ARGOS, así como a sus empleados y terceros contratistas, observar, acatar y cumplir las órdenes e instrucciones que de modo particular imparta ARGOS respecto de los DP cuya divulgación o indebido uso pueda generar un perjuicio a los Titulares de la misma.

4. Que las normas legales relacionadas con los DP establecen sanciones económicas, comerciales y privativas de la libertad, por lo cual es fundamental la cooperación entre ARGOS y los destinatarios de esta norma, con el fin de garantizar el cumplimiento de los derechos a la intimidad, al habeas data ya la protección de DP evitando así perjuicios para cualquiera de las partes y/o terceros.

5. Que la regulación de la política de tratamiento de datos personales, en particular respecto de las relaciones laborales y prestación de servicios, debe incluir la protección de los DP relacionados con el recurso humano, respetando el mínimo de derechos y garantías de los empleados y prestadores de servicios, so pena de que las estipulaciones no produzcan ningún efecto.

6. Que conforme a la legislación laboral surge para el empleador el deber de proteger a los empleados, y para estos surge el deber de acatamiento y lealtad para con ARGOS, de manera que estos contribuyan en la gestión segura de la información de carácter personal.

7. Que esta norma complementa y no contraviene las obligaciones del empleado y de ARGOS contenidas en la legislación laboral.

8. Que es deber de los empleados para con ARGOS prestar toda su colaboración en caso de siniestro o riesgo inminente que afecte o amenacen los activos de información, especialmente los relacionados con los DP que custodia ARGOS, de manera que se preste la debida cooperación que ARGOS requiera para investigar, analizar y capturar evidencia de incidentes de seguridad que comprometan ésta información, tengan o no vocación judicial, acatando para ello las instrucciones contenidas en el protocolo de cadena de custodia de ARGOS.

Con base en las anteriores consideraciones que fundamentan la protección de DP en ARGOS, se formulanlas siguientes disposiciones para su tratamiento y que son de obligatorio cumplimiento para losdestinatarios de esta norma.

I. DEFINICIONES

1. Base de Datos Personales. Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

2. Base de datos automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

3. Base de datos no automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.

4. Cesión de datos. Tratamiento de datos que supone su revelación a una persona diferente al Titular del dato o distinta de quien estaba habilitado como cesionario.

5. Custodio de la base de datos. Es la persona física que tiene bajo su custodia la base de DP al interior de ARGOS.

6. Dato personal. Es cualquier dato y/o información que identifique a una persona física o la haga Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos,perfiles o de cualquier otro tipo.

7. Dato personal sensible. Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su Titular y en los casos previstos en la ley.

8. Encargado del Tratamiento. Es la persona física o jurídica, autoridad pública o privada, que por si misma o en asocio con otros, realice el tratamiento de DP por cuenta del Responsable.

9. Fuentes Accesibles al Público. Se refiere a aquellas bases contentivas de DP cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambiodel servicio de acceso a tales Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando lainformación se limite a DP de carácter general o que contenga generalidades de ley. Tendrán estacondición los medios de comunicación impresos, diario oficial y demás medios de comunicación.

10. Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y DP que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.

11. Procedimiento de análisis y creación de Información. Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los DP recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del Titular de cada dato personal.

12. Procedimiento de Disociación. Hace referencia a todo tratamiento de DP de modo que lainformación que se obtenga no pueda asociarse a persona identificada o

13. Principios para el tratamiento de datos. Son las reglas fundamentales, de orden legal y/ojurisprudencial, que inspiran y orientan el tratamiento de DP, a partir de los cuales se determinanacciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeasdata y protección de los DP, y el derecho a la información.

14. Propietario de la base de datos. Dentro de los procesos de negocios de ARGOS, es propietaria de labase de datos el área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión.

15. Responsable del Es la persona física o jurídica, de naturaleza pública o privada, querecolecta los DP y decide sobre la finalidad, contenido y uso de la base de datos.

16. Titular del dato personal. Es la persona física cuyos datos sean objeto de tratamiento. Respecto delas personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.

17. Tratamiento de Datos. Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre DP, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.

18. Usuario. Es la persona natural o jurídica que tiene interés en el uso de la información personal.

19. Violaciones de las Medidas de Seguridad de los Datos Personales. Será considerado incidente deseguridad aquella situación que implique una violación de las medidas de seguridad adoptadas porARGOS para proteger los DP entregados para su custodia, sea como Responsable y/o Encargado, asícomo cualquier otra conducta que constituya un tratamiento inadecuado de DP en contravía de loaquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los DP en poder de ARGOS deberá ser informado a la autoridad de control en la materia.

II. OBJETO

Adoptar y establecer las reglas aplicables al tratamiento de DP recolectados, tratados y/o almacenados por ARGOS en desarrollo de su objeto social, bien sea en calidad de Responsable y/o Encargado deltratamiento.

Las reglas adoptadas en esta norma por ARGOS se adecúan a los estándares internacionales en materia deprotección de DP.

III. ÁMBITO DE APLICACIÓN

Los principios y disposiciones contenidos en esta política de tratamiento de datos personales se aplicarán a cualquier base de DP que se encuentren en custodia de ARGOS, bien sea en calidad de Responsable y/ocomo Encargado del tratamiento.

Todos los procesos organizacionales de ARGOS que involucren el tratamiento de DP, deberán someterse a lodispuesto en esta norma.

En el evento en que existiera una diferencia entre la normatividad aplicable en alguna jurisdicción y lapresente política, prevalecerá la aplicación de la normatividad local sobre esta política.

IV. DESTINATARIOS

La presente norma se aplicará y por ende obligará a las siguientes personas:

1. Representantes Legales y/o administradores de ARGOS.

2. Personal interno de ARGOS, directivos o no, que custodien y traten bases de DP.

3. Contratistas y personas naturales o jurídicas que presten sus servicios a ARGOS bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier tratamiento de DP.

4. Los Accionistas, revisores fiscales y aquellas otras personas con las cuales exista una relación legal de orden estatutario.

5. Personas públicas y privadas en condición de usuarios de los DP.

6. Las demás personas que establezca la ley.

V. PRINCIPIOS APLICABLES

La protección de DP en ARGOS estará sometida a los siguientes principios o reglas fundamentales, conbase en las cuales se determinarán los procesos internos relacionados con el tratamiento de DP y seinterpretarán de manera armónica, integral y sistemática para resolver los conflictos que se susciten enesta materia.

1. Consentimiento informado o principio de Libertad. El tratamiento de DP al interior de ARGOS,sólo puede hacerse con el consentimiento, previo, expreso e informado del Titular. Los DP nopodrán ser obtenidos, tratados o divulgados sin autorización del Titular salvo mandato legal ojudicial que supla el consentimiento del Titular.

2. Legalidad. El tratamiento de DP es una actividad reglada y por ende los procesos de negocios y destinatarios de esta norma deben sujetarse a lo dispuesto en esta norma.

3. Finalidad del Dato. El tratamiento de DP debe obedecer a una finalidad legítima, acorde con laConstitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al Titular para que éste exprese su consentimiento informado.

4. Calidad o veracidad del dato. Los datos de carácter personal recolectados por ARGOS deben serveraces, completos, exactos, comprobables, comprensibles y mantenerse Se prohíbe eltratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.

5. Transparencia: En el tratamiento de DP se garantizará el derecho del Titular a obtener y conocer del Responsable y/o Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.

6. Pertinencia del dato. En la recolección de los DP por parte de ARGOS se deberá tener en cuenta lafinalidad del tratamiento y/o de la base de datos; por tanto deben ser datos adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de DP desproporcionados en relación con la finalidad para la cual se obtienen.

7. Acceso y Circulación Restringida. Los DP que recolecte o trate ARGOS serán usados por estacompañía solo en el ámbito de la finalidad y autorización concedida por el Titular del dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros no Los DP bajo custodia de ARGOS no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a lo dispuesto en la leyy los principios que gobiernan la materia.

8. Temporalidad del dato. Agotada la finalidad para la cual fue recolectado y/o tratado el DP, ARGOSdeberá cesar en su uso y por ende adoptará las medidas de seguridad pertinentes a tal Para ello se tendrán en cuenta las obligaciones de ley comercial en materia de conservación de libros de comercioy correspondencia del comerciante.

9. Seguridad del dato. ARGOS, en calidad de Responsable o Encargado del tratamiento de DP, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los DP. ARGOS, conforme la clasificación de los DP, implementará las medidas de seguridad de nivel alto, medio o bajo,aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso noautorizado o fraudulento.

10. Confidencialidad. ARGOS y todas las personas que intervengan en el tratamiento de DP, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual. ARGOS implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.
11. Deber de Información. ARGOS informará a los Titulares de los DP, así como a los Responsables yEncargados del tratamiento, del régimen de protección de DP adoptado por ARGOS, así comorespecto de la finalidad y demás principios que regulan el tratamiento. Así mismo informará sobre laexistencia de las bases de DP que custodie, los derechos y el ejercicio del habeas data por parte delos Titulares, procediendo al registro que exige la ley.

12. Protección especial de datos sensibles. ARGOS no recolectará ni tratará DP ligados exclusivamente a ideologías políticas, afiliación sindical, creencias religiosas, vida sexual, origen étnico, y datos desalud, salvo autorización expresa del Titular – dejando claro que es de carácter facultativo responder preguntas que versen sobre datos sensibles o sobre menores de edad, – y en aquellos casos de ley en los cuales no se requiera del consentimiento. Los DP de carácter sensible que se puedan obtener en procesos de la actividad de ARGOS serán protegidos a través de medidas de seguridad.

VI. DERECHOS DE LOS TITULARES

Los Titulares de los DP contenidos en bases de datos que reposen en los sistemas de información de ARGOS, tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en la Constitución Política y la Ley. El ejercicio de estos derechos será gratuito e ilimitado por parte del Titular, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos. El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidospor el Titular de manera exclusiva, salvo las excepciones de ley.

1. Derecho de acceso. Este derecho comprende la facultad del Titular de obtener toda la información respecto de sus propios DP, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus DP, y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no.

2. Derecho de actualización. Este derecho comprende la facultad del Titular del dato de actualizarsus DP cuando éstos hayan tenido alguna variación.

3. Derecho de rectificación. Este Derecho comprende la facultad del Titular de modificar los datos que resulten ser inexactos, incompletos o inexistentes.

4. Derecho de cancelación. Este Derecho comprende la facultad del Titular de cancelar sus DP o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepciones por la ley

5. Derecho a la revocatoria del Consentimiento. El Titular tiene el derecho de revocar elconsentimiento o la autorización que habilitaba a ARGOS para un tratamiento con determinadafinalidad, salvo en aquellos casos contemplados como excepciones por la ley y/o que sea necesario enun marco contractual específico.

6. Derecho de oposición. Este derecho comprende la facultad del Titular de oponerse al tratamiento de sus DP, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular. La Vicepresidencia Legal de ARGOS, con base en los legítimos derechos que argumente el Titular, hará un juicio de proporcionalidad o ponderación con el fin de determinar la preeminencia o no del derecho particular del Titular sobre otros derechos, verbigracia, el derecho de información.

7. Derecho a presentar quejas y Reclamos o a ejercer Acciones. El Titular tiene derecho a presentarante la autoridad competente, quejas y reclamos, así como las acciones que resultaren pertinentes,para la protección de sus datos. ARGOS dará respuesta a los requerimientos que realicen las autoridades competentes en relación con estos derechos de los  Titulares.

8. Derecho a otorgar autorización para el tratamiento de datos. En desarrollo del principio delConsentimiento Informado, el Titular tiene derecho a otorgar su autorización, por cualquier medioque pueda ser objeto de consulta posterior, para tratar sus DP en ARGOS. De manera excepcional,esta autorización no será requerida en los siguientes casos: cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial, cuando se trate de datos de naturaleza pública, en casos de emergencia médica o sanitaria, cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos, cuando se trate de DP relacionados con el Registro Civil de las personas. En estos casos, si bien no se requiere de la autorización del Titular, si tendrán aplicación los demás principios y disposiciones legales sobre protección de DP.

VII. DEBERES DE RESPONSABLES Y ENCARGADOS

Cuando ARGOS o cualquiera de los destinatarios de esta norma, asuman la calidad de Responsables deltratamiento de DP bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demásdisposiciones previstas en la ley y en otras que rijan su actividad:

1. Garantizar al Titular, en todo tiempo, el pleno ejercicio del derecho de hábeas data.

2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectivaautorización y consentimiento otorgada por el Titular

3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asistenpor virtud de la autorización otorgada.

4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información se mantenga actualizada.

7. Rectificar la información cuando sea incorrecta y comunicarlo al Encargado del tratamiento.

8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

9. Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad yprivacidad de la información del Titular.

10. Tramitar las consultas y reclamos en los términos señalados en esta norma y en la ley.

11. Adoptar lineamientos internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

12. Informar al Encargado del tratamiento la circunstancia de que determinada información seencuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no hayafinalizado el trámite respectivo.

13. Informar a solicitud del Titular sobre el uso dado a sus datos.

14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

15. Cumplir las instrucciones y requerimientos que imparta la autoridad competente.

Cuando ARGOS o cualquiera de los destinatarios de esta norma, asuman la calidad de Encargados deltratamiento de DP bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demásdisposiciones previstas en la ley y en otras que rijan su actividad:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.

4. Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5)días hábiles contados a partir de su recibo.

5. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en estanorma y en la Esta función estará en cabeza de la Vicepresidencia Legal de ARGOS.

6. Adoptar lineamientos internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

7. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley, respecto de aquellas quejas o reclamaciones no resueltas presentadas por los Titulares de los DP.

8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo hayasido ordenado por la autoridad competente.

10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

11. Informar a la autoridad competente cuando se l presenten violaciones a los códigos de seguridad yexistan riesgos en la administración de la información de los Titulares.

12. Cumplir las instrucciones y requerimientos que imparta la autoridad competente.

Además de los deberes antes descritos en cabeza de ARGOS y de cualquiera otra persona que asuma sucondición de Responsable o Encargado del tratamiento, de manera complementaria asumirán lossiguientes deberes cualquiera que sea su condición:

1. Aplicar las medidas de seguridad conforme la clasificación de los DP que trata ARGOS.

2. Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos.

3. Adoptar procedimientos de Respaldo o Back Up de las bases de datos que contienen DP.

4. Auditar de forma periódica el cumplimiento de esta norma por parte de los destinatarios de la misma.

5. Gestionar de manera segura las bases de datos que contengan DP.

6. Aplicar esta norma sobre protección de DP en armonía con la Política de Seguridad de la Información.

7. Llevar un registro central de las bases de datos que contengan DP.

8. Gestionar de manera segura el acceso a las bases de DP contenidos en los sistemas de información, enlos que actúe como Responsable o Encargado del tratamiento.

9. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases dedatos que contengan DP.

10. Regular en los contratos con terceros el acceso a las bases que contengan DP.

VIII. PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS

En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos de acceso,actualización, rectificación, cancelación y oposición por parte del Titular, o interesado habilitadolegalmente, esto es, sus causahabientes y representantes legales, ARGOS adopta el siguienteprocedimiento:

1. El Titular y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el Titular este representado por un tercero deberá allegarse elrespectivo poder, el cual deberá tener reconocimiento del contenido ante El apoderadodeberá igualmente acreditar su identidad en los términos indicados.

2. La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal o al correo electrónico datospersonales@argos.com.co o por medio de la Línea deTransparencia (lintransparencia@argos.com.co).

3. La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguienteinformación:

• Nombre del Titular, y de sus representantes, de ser el caso.

• Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que ARGOS proceda como Responsable de la base de datos a dar respuesta.

• Dirección física y/o electrónica para notificaciones.

• Documentos que soportan la solicitud.

• Firma de la solicitud por parte del titular.

Si faltare alguno de los requisitos aquí indicados, ARGOS así lo comunicará al interesado dentro de los 5días siguientes a la recepción de la solicitud, para que los mismos sean subsanados, procediendo entonces a dar respuesta a la solicitud de Habeas Data presentada. Si transcurridos dos (2) meses sin que presente lainformación requerida, se entenderá que se ha desistido de la solicitud.

ARGOS, cuando sea Responsable de la base de DP contenidos en sus sistemas de información, darárespuesta a la solicitud en el término de diez (10) días si se trata de una consulta; y de quince (15) días si se trata de un reclamo. En igual término se pronunciará ARGOS cuando verifique que en sus sistemas deinformación no tiene DP del interesado que ejerce alguno de los derechos indicados.

En caso de reclamo, si no fuere posible dar respuesta dentro del término de quince (15) días, se informará al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento de los primeros quince (15) días.

ARGOS, en los casos que detente la condición de Encargado del tratamiento informará tal situación alTitular o interesado en el dato personal, y comunicará al Responsable la solicitud, con el fin de que éste dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida alTitular del dato o interesado, para que tenga conocimiento sobre la identidad del Responsable del datopersonal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.

ARGOS documentará y almacenará las solicitudes realizadas por los Titulares de los datos o por losinteresados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Estainformación será tratada conforme a las normas aplicables a la correspondencia de ARGOS.

Para acudir a la autoridad competente en ejercicio de las acciones legales contempladas para los Titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.

IX. REGISTRO CENTRAL DE BASES DE DATOS

ARGOS, como Responsable del tratamiento de DP bajo su custodia, en desarrollo de su actividadempresarial, así como respecto de aquellos en los cuales tenga la calidad de Encargado, dispondrá de unregistro central en el cual relacionará cada una de las bases de datos contenidas en sus sistemas deinformación. El registro central de bases de DP permitirá:

1. Inscribir toda base de DP contenida en los sistemas de información de ARGOS. A cada base se leasignará un número de registro. La inscripción de las bases de DP indicará: (i) El tipo de DP que contiene; (ii) La finalidad y uso previsto de la base de datos; (iii) Identificación del área de ARGOS que hace el tratamiento de la base de datos; (iv) Sistema de tratamiento empleado (automatizado o manual) en la base de datos; (v) Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene; (vi) Ubicación de la base de datos en los sistemas de información de ARGOS; (vii) El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos; (viii) La condición de ARGOS como Responsable o Encargado del tratamiento de las bases de datos; (ix) Autorización de comunicación o cesión de la base de datos, si existe; (x) Procedencia de los datos y procedimiento en la obtención del consentimiento; (xi) Funcionario de ARGOS custodio de la base de datos; (xii) Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse.

2. La cancelación de la base de datos de DP será registrada indicando los motivos y las medidas técnicas adoptadas por ARGOS para hacer efectiva la cancelación.

3. Para efectos de cumplimiento y auditoría, se actualizarán periódicamente los cambios surtidos enlas bases de DP en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia.

4. Se documentará el historial de incidentes de seguridad que surjan de cualquiera de las bases de datos personales custodiadas por ARGOS así como y las sanciones impuestas o las medidas tomadas.

X. TRATAMIENTO DE DATOS PERSONALES

Las operaciones que constituyen tratamiento de DP por parte de ARGOS, en calidad de Responsable oEncargado del mismo, se regirán por los siguientes parámetros.

1. Tratamiento de Datos Personales relacionados con la Gestión del Recurso Humano. ARGOS tratará los DP de sus empleados, contratistas, así como respecto de aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después de la relación laboral y/o de Cuando el Tratamiento sea antes de la relación laboral, ARGOS informará, de manera anticipada, a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los DP que suministre el interesado, así como respecto de aquellos que se obtengan durante el proceso de selección. Una vez agote el proceso de selección, informará el resultado negativo y entregará a las personas no seleccionadas los DP suministrados, salvo que los Titulares de los datos por escrito autoricen la destrucción, conservación u otro tratamiento de los mismos, cuando el Titular del dato no sea seleccionado. La información obtenida por ARGOS respecto de quienes no fueron seleccionados, resultados de las pruebas sicotécnicas y entrevistas, serán eliminados de sus sistemas de información, dando así cumplimiento al principio de finalidad. Cuando ARGOS contrate procesos de selección de personal con terceros, regulará en los contratos el tratamiento que se deberá dar a los DP entregados por los interesados, así como la destinación de la información personal obtenida del respectivo proceso. Los DP e información obtenida del proceso de selección respecto del personal seleccionado para laborar en ARGOS, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible. La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de ARGOS y la información personal obtenida del proceso de selección, se limita a la participación en el mismo; por tanto, su uso parafines diferentes está prohibido. En el Tratamiento de datos durante la relación contractual, ARGOS almacenará los DP e información personal obtenida del proceso de selección de los empleados en una carpeta identificada con el nombre de cada uno de ellos. Esta carpeta física o digital solo será accedida y tratada por el Área de Relaciones Laborales y con la finalidad de administrar la relación contractual entre ARGOS y el empleado. El uso de la información de los empleados para fines diferentes a la administración de la relación contractual, está prohibido en ARGOS. El uso diferente de los DP de los empleados solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad. Corresponderá a la Vicepresidencia Legales evaluar la competencia y eficacia de la orden de la autoridad competente para prevenir una cesión no autorizada de DP. Frente al Tratamiento de datos después de terminada la relación contractual, terminada la relación laboral, cualquiera que fuere la causa, ARGOS procederá a almacenar los DP obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles. ARGOS tiene prohibido ceder tal información a terceras partes no autorizadas, pues tal hecho puede configurar una desviación en la finalidad para la cual fueron recolectados.

2. Tratamiento de Datos Personales de Accionistas. Los DP de las personas físicas que llegaren a tener la condición de accionista de ARGOS, se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal. Enconsecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia. ARGOS solo usará los DP de los accionistas para lasfinalidades derivadas de la relación estatutaria

3. Tratamiento de Datos Personales de Proveedores. ARGOS solo recopilará de sus proveedores losdatos que sean necesarios, pertinentes y no excesivos para la selección, evaluación y ejecución delcontrato que pueda tener lugar. Cuando ARGOS esté obligado como resultado de un proceso de contratación a transferir los datos personales del proveedor, la transferencia se realizará de acuerdo con las disposiciones de esta política. ARGOS tratará los DP de los empleados de sus proveedores, que sean necesarios, pertinentes y no excesivos para analizar y evaluar, de acuerdo con las características de los servicios contratados con el proveedor, los aspectos de seguridad de su acceso a las operaciones de ARGOS, la idoneidad moral y competencia. Una vez que se verifica este requisito, ARGOS deberá devolver dicha información al proveedor, excepto cuando sea necesario preservar estos datos. En cualquier caso, previa recepción de esta información, el proveedor recolectará el consentimiento de sus empleados para el tratamiento de sus datos personales y su transferencia a ARGOS. Cuando ARGOS entregue DP de sus empleados a sus proveedores, estos deberán proteger los DP suministrados, conforme lo dispuesto en esta norma. Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que legitima la entrega de los DP. ARGOS verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la transferencia.

4. Tratamiento de Datos Personales en procesos de contratación. Los terceros que, en procesos decontratación, alianzas y acuerdos de cooperación con ARGOS, accedan, usen, traten y/o almacenenDP de empleados de ARGOS y/o de terceros relacionados con dichos procesos contractuales,adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de seguridad que leindique ARGOS según el tipo de DP tratado. Para tal efecto se incluirá la previsión de auditoríarespectiva en el contrato o documento que legitima la entrega de los DP. ARGOS verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento.

5. Tratamiento de Datos Personales de la comunidad en general. La recolección de datos de personas físicas que ARGOS trate en desarrollo de acciones relacionadas con la comunidad, bien seaconsecuencia de responsabilidad social empresarial o de cualquiera otra actividad, se sujetará a lodispuesto en esta norma. Para el efecto, previamente ARGOS informará y obtendrá la autorización de los Titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades. En cada uno de los casos antes descritos, las áreas de ARGOS que desarrollen los procesos de negocios en los que se involucren DP, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada.

XI. PROHIBICIONES

1. ARGOS prohíbe el acceso, uso, gestión, transferencia, comunicación, almacenamiento y cualquier otro tratamiento de Datos Personales Sensibles, excepto cuando el Titular de Datos consienta sutratamiento o la ley autorice a ARGOS a tratar datos personales sensibles sin consentimiento. Elincumplimiento de esta prohibición por parte de los empleados de ARGOS se considerará unincumplimiento grave de las obligaciones laborales que puede conducir a la terminación de la relación laboral e incluso a acciones legales. El incumplimiento de esta prohibición por parte de losproveedores de ARGOS se considerará un incumplimiento grave de los contratos que puede causar laterminación del contrato e incluso acciones legales.

2. ARGOS prohíbe la transferencia, comunicación o circulación de PD, sin el consentimiento previo, por escrito y expreso del Titular de los Datos, excepto en los casos en que la ley autorice a ARGOS atransferir los DP sin el consentimiento del Titular.

3. En aplicación de la norma sobre el uso adecuado de los recursos informáticos de ARGOS u otrasregulaciones asociadas, ARGOS prohíbe el acceso, uso, transferencia, comunicación, almacenamiento y cualquier otro tratamiento de DP de naturaleza sensible que pueda identificarse en un procedimiento de auditoría. La identificación de los datos sensibles se informará al Titular de los Datos para que los elimine. Si la eliminación por parte del Titular de Datos no es posible, ARGOS procederá a eliminarlos de manera segura.

4. ARGOS prohíbe a los destinatarios de esta norma cualquier tratamiento de DP que pueda dar lugar aalguna de las conductas clasificadas como delitos informáticos.

5. ARGOS prohíbe el tratamiento de DP de menores de edad, salvo autorización expresa de sus representantes legales, excepto en los casos en que la ley autorice a ARGOS su tratamiento sin el consentimiento previo. En todo tratamiento de datos personales de menores, se deberán garantizar los derechos reconocidos en la Constitución Política o la ley.

XII. TRANSFERENCIA INTERNACIONAL DE DATOS

Está prohibida la transferencia de DP a países que no proporcionen niveles adecuados de protección dedatos. Se entienden países seguros aquellos que cumplan con los estándares fijados por la autoridadcompetente. De manera excepcional se podrán realizar transferencias internacionales de datos por ARGOScuando:

1. El Titular del dato haya otorgado su autorización previa, expresa e inequívoca para realizar la transferencia.

2. La transferencia sea necesaria para la ejecución de un contrato entre el Titular y ARGOS comoResponsable y/o Encargado del tratamiento.

3. Se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.

4. Se trate de transferencia de datos en el marco de tratados internacionales aplicables.

5. Transferencias legalmente exigidas para salvaguardar un interés público.

Al momento de presentarse una transferencia internacional de DP, previo envío o recepción de losmismos, ARGOS suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes quesurgen para las partes intervinientes.

Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en lalegislación y jurisprudencia que fuera aplicable en materia de protección de DP.

Corresponderá a la Vicepresidencia Legales aprobar los acuerdos o contratos que conlleven unatransferencia internacional de DP, atendiendo como directrices los principios aplicables y recogidos enesta norma.

XIII. ROLES Y RESPONSABILIDADES

La responsabilidad del tratamiento adecuado de los DP dentro de ARGOS corresponde a todos susempleados y administradores. En consecuencia, cada área de ARGOS que trata DP, dada su condición dePropietario de la base de datos, debe adoptar reglas y procedimientos para la aplicación y elcumplimiento de esta política.

En caso de duda sobre el tratamiento de DP, se debe contactar al área responsable de la seguridad de lainformación o al Departamento Legal para indicar las pautas a seguir.

XIV. TEMPORALIDAD DEL DATO PERSONAL

En el tratamiento de DP que realiza ARGOS, la permanencia de los datos en sus sistemas de informaciónestará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para lacual se recolectaron los datos, ARGOS procederá a su destrucción o devolución, según el caso, o bien aconservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamientoinadecuado.

XV. MEDIDAS DE SEGURIDAD

En el tratamiento de los DP objeto de regulación en esta norma, ARGOS adoptará medidas de seguridadfísicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgoque pueda derivar de la criticidad de los DP tratados.

Los destinatarios de esta política están obligados a informar a ARGOS cualquier violación de las medidasde seguridad adoptadas por ARGOS para proteger los DP, así como cualquier tratamiento de informacióninapropiado. En estos casos, ARGOS comunicará la situación a la autoridad competente y procederá agestionar los incidentes de seguridad relacionados con DP para establecer las repercusiones penales,laborales, disciplinarias o civiles.

XVI. SANCIONES

El incumplimiento de la esta política constituirá una violación del contrato de trabajo o comercial conArgos y conllevará la aplicación de sanciones que pueden implicar, incluso, la terminación de la relaciónlaboral o comercial. Adicionalmente, puede implicar sanciones impuestas por las autoridadescompetentes, según la normatividad que resulte aplicable.

La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionadocon el tratamiento de DP, deberá ser comunicada de manera inmediata a la Vicepresidencia Legales deARGOS, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar laimposición de las sanciones previstas en la legislación aplicable.

XVII. ENTREGA DE DATOS PERSONALES A AUTORIDADES

Cuando las autoridades del Estado soliciten a ARGOS el acceso y/o entrega de DP contenidos encualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datossolicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de lainformación personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad,confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionarioque hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los DPentregados y los riegos que conlleva su indebido uso e inadecuado tratamiento.