POLÍTICAS DE TRATAMIENTO DE DATOS PERSONALES DE BIG PASS SAS

1.- Big Pass SAS, sociedad legalmente constituida, distinguida con el Nit No. 800.112.214-2, domiciliada en la ciudad de Bogotá, en la Calle 72 No. 10-07 Oficina 201, conmutador 319-11-00 correo electrónico: habeasdataco@edenred.com

2.- Ley aplicable.- Este documento es un desarrollo particular de los artículos 15 y 20 de la de la Constitución Política de Colombia (arts. 15 y 20), de la Ley 1581 de 2012 " y del Decreto 1377 de 2013 "reglamentario, en parte, de la Ley 1581 de 2012

3.- Responsable.- Big Pass SAS será El Responsable del tratamiento de los datos personales que llegue a recibir directamente de las personas naturales que se vinculen contractualmente con la misma, bien por un contrato laboral, de prestación de servicios como proveedor, o como adquirente directo de los bienes y servicios que comercializa Big Pass a través de su portal transaccional, o a través de un contrato de Afiliación como Establecimiento Autorizado cuando este pertenezca a una persona natural.

4.- Encargado: Big Pass SAS será El Encargado del tratamiento de los datos personales cuando los reciba de sus Clientes y/o Afiliados, u otro tercero, en su calidad de Responsables del Tratamiento y previamente autorizados por las personas titulares de los mismos en su calidad de Responsables del Tratamiento.

5.- Ámbito de aplicación.- Las políticas establecidas rigen para el tratamiento de los datos personales registrados en las bases de datos que obtenga y administre Big Pass SAS y que de acuerdo con la ley sean susceptibles de regulación legal y protección legal.

6.- Principios.- El tratamiento de los datos personales que administre Big Pass SAS se sujetará a los siguientes principios a) Principio de finalidad: el Tratamiento de los datos personales recogidos por Big Pass SAS debe obedecer a una finalidad legítima de la cual debe ser informado el Titular; b) Principio de libertad: el Tratamiento sólo puede llevarse a cabo con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento; c) Principio de veracidad o calidad: la información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error; d) Principio de transparencia: en el Tratamiento debe garantizarse el derecho del Titular a obtener de Big Pas SAS, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan; e) Principio de acceso y circulación restringida: los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados; f) Principio de seguridad: la información sujeta a Tratamiento por parte de Big Pass SAS se deberá proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; g) Principio de confidencialidad: todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

7.- Finalidad. Los datos personales suministrados a Big Pass SAS serán tratados conforme a las siguientes finalidades: (i) El cumplimiento de todos sus deberes legales, (ii) El desarrollo de su objeto social (iii) El ejercicio y cumplimiento de todos los derechos y deberes contractuales de la compañia así como los derechos y deberes contractuales de las personas vinculadas bajo cualquier forma contractual. (iv) El tráfico de información sobre actividades comerciales o promocionales que adelante Big Pass SAS con respecto a sus productos y servicios. (v) Cumplir con los procesos internos de Big Pass SAS en materia de administración de proveedores y contratistas. (vi) Las demás finalidades que determinen los Responsables en procesos de obtención de Datos Personales para su Tratamiento y que sean comunicadas a los Titulares en el momento de la recolección de los datos personales. (vii) El control y la prevención del fraude y de lavado de activos, incluyendo pero sin limitarse a la consulta en listas restrictivas, y toda la información necesaria requerida para el SARLAFT. (viii) El proceso de archivo, de actualización de los sistemas, de protección y custodia de información y bases de datos de Big Pass SAS. (ix) La transmisión de datos a terceros con los cuales se hayan celebrado contratos con este objeto, para fines comerciales, administrativos, de mercadeo y/o operativos, cualesquiera que estos sean. (x) Las demás finalidades que determinen los Responsables en procesos de obtención de Datos Personales para su Tratamiento, con el fin de dar cumplimiento a las obligaciones legales y regulatorias, así como de las políticas de Big Pass SAS.

8.- Derechos del titular de la información.- Son derechos del titular de de los datos personales los siguientes:

a) Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento de la información. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012;

c) Ser informado por Big Pass SAS o el encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen;

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución. Los titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la ley 1581 de 2012. No obstante lo anterior, la solicitud de supresión de la información y la revocatoria de autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos. Si vencido el término legal respectivo el Responsable o Encargado no hubiere eliminado los datos personales, el titular tendrá derecho a solicitar a la superintendencia de industria y comercio que ordene la revocatoria de la autorización y/o supresión de sus datos personales.

f) Acceder en forma gratuita, una vez cada mes, a los datos personales que hayan sido objeto de Tratamiento y cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información que motiven nuevas conductas. En el evento de que haga más de una consulta por cada mes calendario Big Pass SAS cobrará al titular los gastos de envío, reproducción y certificación de documentos.

9.- Deberes. Big Pass SAS tendrá presente, en todo momento, que los datos personales son propiedad de las personas naturales y que sólo estas pueden decidir sobre los mismos. En consecuencia, hará uso de los datos sólo para los fines antes mencionados y para los que se puedan adicionar posteriormente en la autorización obtenida al momento de recolectar el dato, respetando en todo momento los mandatos de la Constitución, la Ley 1581 de 2012 y el Decreto 1377 de 2013 que la reglamenta. De conformidad con las normas antes citadas Big Pass SAS se obliga a cumplir con los siguientes deberes en lo concerniente con en el tratamiento de datos personales: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de los derechos de habeas data y de petición; b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; c) Realizar oportunamente, esto es, en los términos previstos en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos; d) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en el artículo 14 de la Ley 1581 de 2012; e) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal; f) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio; g) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; h) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; i) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

10.- Autorización. La recolección, almacenamiento, uso, circulación o supresión de datos personales, así como su transferencia o trasmisión a un tercero por parte de Big Pass SAS requiere del consentimiento libre, previo, expreso e informado del titular de los mismos. Big Pass SAS en su condición de responsable del tratamiento de datos personales contenidos en sus bases de datos, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares, garantizando en todo caso que sea posible verificar y comprobar el otorgamiento de dicha autorización. La autorización por parte del Titular de los Datos Personales comprende expresamente la facultad para que Big Pass pueda transferirlos, trasmitirlos, trasladarlos, compartirlos o entregarlos a sus empleados o a terceros vinculados con quienes debe compartirlos, bien sea en el territorio colombiano o en el extranjero, por razón del cabal cumplimiento de su objeto social o de sus derechos y deberes contractuales.

11.- Autorización por El Responsable.- Cuando Big Pass SAS oficie como Encargado del Tratamiento, El tercero Responsable deberá garantizar que ha sido previamente autorizado por el titular de los datos personales para transferirlos, transmitirlos, trasladarlos, compartirlos o entregarlos a Big Pass SAS para su tratamiento con los fines antes descritos y también para que Big Pass SAS los pueda transferir a sus empleados o terceros vinculados, bien sea en el territorio colombiano o en el extranjero, con quienes deba compartirlos por razón del cabal cumplimiento de su objeto social o de sus derechos y deberes contractuales, pudiendo a su vez , transferirlos, transmitirlos, trasladarlos, compartirlos, entregarlos o divulgarlos para tales fines.

12.- Forma de la Autorización. La autorización puede constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta. De conformidad con lo dispuesto en el artículo 7º del decreto 1377 de 2013 se entiende que la autorización del titular de los datos personales cumple con los requisitos de ley cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Se entiende que los titulares de datos personales o Responsables del Tratamiento han autorizado a Big Pass SAS, desde la fecha en que se vincularon contractualmente con la misma y a partir de la cual han remitido sus datos para el tratamiento con el fin de dar cumplimiento a los derechos y deberes contractuales. De la misma manera se entiende que Big Pass ha sido autorizado por el Responsable del Tratamiento de Datos desde la fecha de su vinculación contractual con Big Pass SAS. Se entiende que toda persona natural o jurídica que se vincule o que se haya vinculado a Big Pass SAS, bajo cualquier modalidad contractual ha leído, conocido y aceptado la presente política de Tratamiento de Datos, que esta hace parte del respectivo contrato y particularmente, que ha otorgado a través del mismo contrato su autorización para el manejo de sus datos personales en los términos de la misma.

13.-Responsable o Persona Encargada.- Big Pass SAS ha designado a un funcionario del área de servicio al cliente responsable del correo electrónico: habeasdata-co@edenred.com que será el encargado de tramitar las solicitudes hechas por el titular de los datos personales para conocer, consultar, actualizar, rectificar y suprimir el dato o revocar la autorización.

14. Procedimiento.- Si el titular de los datos personales considera que la información contenida en las bases de datos de Big Pass SAS debe ser objeto de corrección, actualización, supresión y/o revocación de la autorización otorgada para el tratamiento de los mismos, deberá presentar un reclamo ante el responsable o el encargado del tratamiento, el cual será tramitado bajo el siguiente procedimiento:

14.1 Consultas. De acuerdo con lo establecido en el artículo 14 de la Ley 1581 de 2012, los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. En consecuencia, Big Pass SAS garantizará el derecho de consulta, suministrando a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Para la atención de solicitudes de consulta de datos personales Big Pass SAS garantiza tener habilitada la cuenta de correo electrónico habeasdataco@edenred.com y otras que pueda considerar pertinentes y que serán efectivamente anunciados a los titulares de la información. En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, estas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

14.2 Reclamos. De conformidad con lo dispuesto en el artículo 14 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante el Responsable del Tratamiento, el cual será tramitado bajo las siguientes reglas:

1) El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y con inclusión de los documentos que soporten la reclamación. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que Big Pass SAS no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

2) Una vez recibido el reclamo completo, se incluirá en un término no mayor a dos (2) días hábiles, en la base de datos, una leyenda que diga "reclamo en trámite" y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

3) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informarán al interesado antes del vencimiento del referido plazo los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

15. Supresión de Datos. El Titular tiene el derecho, en todo momento, de solicitar a Big Pass SAS la eliminación de sus datos personales cuando: (i) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012. (ii) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados. (iii) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados. Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o tratamientos realizados por Big Pass SAS. El derecho de supresión no es absoluto y el responsable puede negar el ejercicio del mismo en los siguientes casos: (i) La solicitud de supresión de la información no procederá cuando el Titular tenga el deber legal o contractual de permanecer en la base de datos. (ii) No sea posible efectuar la eliminación del dato por la orden de autoridad judicial o administrativa con competencia en el Territorio Nacional. (iii) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular, o para garantizar el cumplimiento de una obligación legalmente adquirida por el Titular.

16. Procedimiento para garantizar el derecho a presentar peticiones o reclamos.- En cualquier momento y de manera gratuita el Titular o su representante podrán solicitar a Big Pass SAS información sobre el uso de sus datos personales, la rectificación, actualización o supresión de estos, previa acreditación de su identidad. Los derechos aquí mencionados únicamente se podrán ejercer por: (i) El Titular o sus causahabientes, previa acreditación de su identidad. (ii) Su representante, previa acreditación de la representación. Cuando la solicitud sea formulada por persona distinta del Titular y no se acredite que la misma actúa en representación de aquel, con el fin de proteger los datos de las personas, Big Pass SAS tomará el reclamo por no presentado. Toda solicitud debe ser presentada a través de los medios habilitados por Big Pass SAS indique en este documento y debe contener, como mínimo, la siguiente información: (i) nombre y domicilio del Titular, o cualquier otro medio, como un correo electrónico, que permita comunicarle la respuesta. (ii) Los documentos que acrediten la identidad o la personalidad de su representante.(iii) La descripción clara y precisa de los datos personales respecto de los cuales el Titular pretende ejercer sus derechos.

17. Revocatoria de la Autorización. Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal. El titular de la información deberá solicitar claramente si la revocación de su autorización versa sobre la totalidad de las finalidades consentidas inicialmente, o si la revocación de su consentimiento recae sobre tipos de tratamiento determinados. Con la revocación parcial del consentimiento, se mantienen los otros fines del tratamiento que el Responsable, de conformidad con la autorización otorgada, puede llevar a cabo y con los que el Titular está de acuerdo.

18. Datos Sensibles.- El Titular es libre de conceder sus Datos Sensibles a Big Pass SAS, por tanto queda a su completa facultad y discreción compartir o no tal clase de datos. Big Pass SAS únicamente recolecta y procesa Datos Sensibles, imágenes de las personas, relacionados con la seguridad de las personas y eventualmente datos biográficos de la misma solo para efectos de la ejecución de campañas promocionales de la empresa que benefician a los titulares de los datos.

19.- Vigencia. El presente documento rige a partir del 27 de Junio de 2013 y hasta la fecha en que expresamente se revoque o modifique, caso en el cual se hará conocer a los titulares de los datos por un medio eficaz.