POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

BMO SUR S.A.S, con NIT 901.230.120-0, domiciliada en la Av. Calle 57R Sur # 73F-50 de la ciudad de Bogotá D.C., en la en el desarrollo de sus actividades como Operador de TransMilenio, recibe información de personal, proveedores y contratistas que pueden considerarse como datos personales, los cuales son registrados en bases de datos o archivos, y por ende en su calidad de responsable del tratamiento de Datos Personal, por medio de la presente Política da cumplimiento a las normas previstas sobre la materia en la Ley 1581 de 2012 y el Decreto 1074 de 2015 y demás normas aplicables.

I.PRINCIPIOS GENERALES Y POSTULADOS.

BMO SUR S.A.S., garantiza la protección de derechos como el Habeas Data, la privacidad, la intimidad, el buen nombre, la imagen y la autonomía institucional. Con tal propósito todas sus actuaciones se regirán por principios de buena fe, legalidad, libertad y transparencia.

Quien, en ejercicio de cualquier actividad, incluyendo las comerciales y laborales, sean estas permanentes u ocasionales, pueda suministrar cualquier tipo de información o dato personal a la empresa y en la cual ésta actúe como encargada del tratamiento o responsable del tratamiento, podrá conocerla, actualizarla y rectificarla.

II.MARCO LEGAL

1. Constitución Política de Colombia, artículo 15. 2. Ley 1266 de 2008 3. Ley 1581 de 2012 4. Decretos Reglamentarios 1074 de 2015 Capítulos 25 y 26. 5. Circular 002 de 2015 Superintendencia de Industria y Comercio.

III.DEFINICIONES.

Para los efectos de la presente Política, se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

b) Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento;

c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

d) Datos sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

e) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta de BMO SUR S.A.S;

f) Responsable del Tratamiento: BMO SUR S.A.S actúa como responsable frente a todos los datos personales sobre los cuales decida directamente que tratamiento les dará según las autorizaciones otorgadas por los Titulares.

g) Titular de datos personales: Persona natural cuyos datos personales son objeto de Tratamiento por parte de BMO SUR S.A.S.

Las personas que podrán ejercer los derechos establecidos en la Ley son: El Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición BMO SUR S.A.S. Sus causahabientes, quienes deberán acreditar dicha calidad. Los representantes en caso que el Titular sea menor de edad o por medio de apoderado, previa acreditación de la representación o apoderamiento. Por estipulación a favor de otro o para otro. h) Tratamiento de datos personales: Es cualquier operación o conjunto de operaciones sobre los Datos Personales que realice BMO SUR S.A.S o los Encargados del Tratamiento por cuenta de la empresa tales como la recolección, almacenamiento, uso, circulación o supresión.

i) Transferencia de datos personales: Ocurrirá cuando BMO SUR S.A.S y/o los Encargados, envíen los Datos Personales a un receptor que, a su vez, es responsable del Tratamiento y que puede estar ubicado en Colombia o en el Exterior.

j) Transmisión de datos personales: Es la comunicación de los Datos Personales a un Encargado del Tratamiento, dentro o fuera de Colombia, con el propósito que este realice un Tratamiento por cuenta de BMO SUR S.A.S.

k) Oficial de Privacidad: Es la persona designada por BMO SUR S.A.S que tiene como funciones, entre otras, la protección de los datos personales de los titulares, la vigilancia y control de la aplicación de la presente Política de tratamiento de Datos Personales y dar trámite a las solicitudes de los titulares que quieran ejercer los derechos a que se refiere la ley 1581 de 2012 y el presente documento.

El Oficial de Privacidad podrá tener otros cargos dentro o fuera de BMO SUR S.A.S siempre y cuando cumpla cabalmente con las funciones encomendadas mediante contrato, el manual de funciones del oficial de privacidad y la ley 1581 de 2012.

IV.FINALIDADES DEL TRATAMIENTO DE LOS DATOS PERSONALES

En nuestra calidad de responsables del Tratamiento desarrollamos Políticas para efectuar el Tratamiento de los Datos personales; velamos porque los Encargados del Tratamiento den cabal cumplimiento a las mismas; hacemos constar las Políticas de Tratamiento de la información en medio físico o electrónico, en un lenguaje claro y sencillo que ponemos en conocimiento de los Titulares.

Por tanto, BMO SUR S.A.S. tendrá las siguientes finalidades en el Tratamiento de los datos personales:

FINALIDADES. Los Datos Personales tratados por la Empresa se someterán a las finalidades que se señalan a continuación.

BMO SUR S.A.S usará la información que suministre o le suministren para:

Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables de la Empresa. Cumplir con los procesos internos de la Empresa en materia de desarrollo u operativo y/o de administración de sistemas, recursos humanos, administración de proveedores y contratistas, así como lo exigidos por la ley, incluyendo, pero sin limitarse a la verificación de afiliaciones de los mismos y pagos al sistema de seguridad social. Cumplir el objeto social de la Empresa, con el contrato de concesión suscrito con Transmilenio S.A. y con los contratos que suscriba con terceros. El control y la prevención del fraude y de lavado de activos, incluyendo, pero sin limitarse a la consulta en listas restrictivas, y toda la información necesaria requerida para el SARLAFT. El proceso de archivo, de actualización de los sistemas, de protección y custodia de información y bases de datos de la Empresa.

Las demás finalidades que determinen los Responsables en procesos de obtención de Datos Personales para su Tratamiento, con el fin de dar cumplimiento a las obligaciones legales y regulatorias, así como de las políticas de la Empresa.

Teniendo en cuenta que BMO SUR S.A.S. dentro del proceso de bienestar realiza tratamiento de datos personales de niños, niñas y adolescentes, se garantiza que dicho tratamiento se realizará con previa autorización de los padres, representantes legales y tutores u otra figura de representación contemplada en la Ley asegurando así sus derechos fundamentales.

V.DERECHOS DEL TITULAR DE LOS DATOS PERSONALES

Los Titulares de los Datos Personales registrados en las Bases de Datos de BMO SUR S.A.S, tienen los siguientes derechos:

Conocer, actualizar y rectificar sus datos personales. Estos derechos los podrán ejercer, entre otros, frente a Datos Personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado por el; Solicitar prueba de la Autorización otorgada a BMO SUR S.A.S salvo cuando se exceptúe expresamente como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012; Ser informado por BMO SUR S.A.S o el Encargado del Tratamiento, previa solicitud, respecto del uso que se ha dado a sus Datos Personales; Acceder en forma gratuita, al menos cada mes calendario, a sus datos personales que hayan sido objeto de Tratamiento. Solicitar a BMO SUR S.A.S la revocatoria de la autorización y/o la supresión de sus Datos Personales, mediante presentación de reclamo escrito de conformidad con al Art. 15 de la Ley 1581 de 2012 y con el título VI de la Política de Tratamiento de Datos Personales, en los siguientes casos:

Cuando considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012. Cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados. Cuando se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados. La supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por BMO SUR S.A.S. La revocación de la autorización o Supresión de los datos personales, podrá solicitarse sobre la totalidad o parte de los datos que comprenden la autorización otorgada de que trata el presente documento de Políticas de Tratamiento de la

Información, más no respecto de los datos regulados al amparo de la Ley 1266 de 2008 y/o cualquiera otra norma que la adicione, modifique o derogue.

Excepciones al Derecho de revocatoria de la autorización y/o la supresión de Datos Personales

Es importante aclarar a los Titulares de datos Personales cuya información repose en las bases de datos de BMO SUR S.A.S, que el derecho de cancelación no es absoluto y BMO SUR S.A.S puede negar el ejercicio del mismo cuando:

El titular tenga un deber legal o contractual de permanecer en la base de datos. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.

VI.PROCEDIMIENTO DE CONSULTAS Y RECLAMOS

1. PROCEDIMIENTO DE CONSULTAS: 1.1 Derechos Garantizados:

Mediante el presente procedimiento, BMO SUR S.A.S y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de consultar toda la información contenida en su registro individual o toda aquella que esté vinculada con su identificación conforme se establece en el literal a) capítulo V de la presente Política de Tratamiento de Datos Personales.

1.2 Responsable de atención de consultas:

El responsable de atender estas solicitudes será el Oficial de Privacidad de BMO SUR S.A.S quien recibirá y dará trámite a las solicitudes que se reciban, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.

1.3 Medios de Recepción de Solicitudes de Consulta:

El Titular o sus causahabientes podrá remitir su consulta a la dirección de correo electrónico protecciondatos@bogotamovil.com.co o mediante presentación de

solicitud escrita en nuestras oficinas ubicadas en la Av. Calle 57R Sur # 73F-50 de la ciudad de Bogotá D.C.

1.4 Plazos de Respuesta a consultas:

Las solicitudes recibidas mediante los anteriores medios, serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.

1.5 Prórroga del plazo de Respuesta: En caso de imposibilidad de atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

2. PROCEDIMIENTO DE RECLAMOS: 2.1 Derechos Garantizados mediante el procedimiento de reclamos:

2.1.1 Corrección o Actualización: BMO SUR S.A.S y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de corregir o actualizar los datos personales que reposen en sus bases de datos, mediante presentación de reclamación, cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en el literal a) capítulo V de la presente Política de Tratamiento de Datos Personales para que sea procedente la solicitud de Corrección o Actualización.

2.1.2 Revocatoria de la autorización o Supresión de los datos Personales: BMO SUR S.A.S y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de Solicitar la Revocatoria de la autorización o solicitar la supresión de la información contenida en su registro individual o toda aquella que esté vinculada con su identificación cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en el literal e) capítulo V de la presente Política de Tratamiento de Datos Personales. Así mismo se garantiza el derecho de presentar reclamos cuando adviertan el presunto incumplimiento de la ley 1581 de 2012 o de la presente Política de Tratamiento de Datos Personales.

2.2 Responsable de atención de Reclamos:

El responsable de atender los reclamos presentados por los titulares será el Oficial de Privacidad de BMO SUR S.A.S quien recibirá y dará trámite a los reclamos que

se reciban, en los términos, plazos y condiciones establecidos en la ley 1581 de 2012 y en la presente política.

2.3 Medios de Recepción y Requisitos legales de los Reclamos:

El Titular o sus causahabientes podrán remitir su reclamación a la dirección de correo electrónico protecciondatos@bogotamovil.com.co o mediante radicación escrita en nuestras oficinas ubicadas en la Av. Calle 57R Sur # 73F-50 de la ciudad de Bogotá D.C.

Las reclamaciones presentadas deberán contener como mínimo la siguiente información:

2.3.1 Identificación del Titular;

2.3.2 Descripción de los hechos que dan lugar al reclamo;

2.3.3 Dirección del Titular y/o sus causahabientes;

2.3.4 Documentos que se quieran hacer valer.

2.4 Reclamaciones sin cumplimiento de Requisitos legales:

En caso que la reclamación se presente sin el cumplimiento de los anteriores requisitos legales, se solicitará al reclamante dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentos faltantes.

2.5 Desistimiento del Reclamo:

Transcurridos dos (2) meses calendario desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

2.6 Recepción de reclamos que no correspondan a la empresa:

En caso que BMO SUR S.A.S reciba un reclamo dirigido a otra organización, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al reclamante.

2.7 Inclusión de leyenda en la base de datos:

Recibida la reclamación de forma completa, en un término máximo de dos (2) días hábiles contados desde la recepción, BMO SUR S.A.S incluirá en la base de datos donde se encuentren los datos personales del Titular, una leyenda que diga "reclamo en trámite" y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

2.8 Plazos de Respuesta a los Reclamos:

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.

2.9 Prórroga del plazo de Respuesta:

Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

2.10 Procedimiento de Supresión de Datos Personales:

En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, BMO SUR S.A.S, deberá realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.

VII.TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES.

En los casos que BMO SUR S.A.S envíe o transfiera datos personales de titulares que reposan en sus bases de datos a otro país, deberá contar con la autorización del titular de la información que es objeto de transferencia. Salvo que la ley diga lo contrario, es presupuesto necesario la existencia de dicha autorización para efectuar la circulación internacional de datos. En este sentido, los obligados a cumplir esta política deberán verificar que se cuenta con la autorización previa, expresa e inequívoca del titular que permita trasmitir sus datos personales.

La transferencia Internacional de datos personales se realizará únicamente a terceros con quien BMO SUR S.A.S, tenga vínculo contractual, comercial y/o legal.

VIII.ACEPTACIÓN DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES.

Los titulares de la información que reposa en las bases de datos de BMO SUR S.A.S aceptan el tratamiento de sus datos personales, conforme a los términos del presente documento y BMO SUR S.A.S podrá continuar realizando el tratamiento de los datos para las finalidades descritas, si no ejercen su derecho de revocar o suprimir.

IX.OFICIAL DE PRIVACIDAD

De acuerdo al artículo 2.2.2.25.4.4 Decreto 1074 de 2015, todo responsable y encargado debe designar a una persona o área que asuma la función de protección de datos personales y que dará tramite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la ley 1581 del 2012 y el decreto.

La función del Oficial de Privacidad o del área encargada de protección de datos BMO SUR S.A.S, es velar por la implementación efectiva de las políticas y procedimientos adoptados por está para cumplir las normas, así como la implementación de buenas prácticas de gestión de datos personales dentro de la compañía.

El Oficial de Privacidad tendrá la labor de estructurar, diseñar y administrar el programa que permita a la organización cumplir las normas sobre protección de datos personales, así como establecer los controles de ese programa, su evaluación y revisión permanente.

X.REGISTRO NACIONAL DE BASE DE DATOS

De acuerdo con el Art. 25 de la Ley 1581 y sus decretos reglamentarios, BMO SUR S.A.S deberá registrar sus bases de datos junto con esta Política de Tratamiento de Datos Personales en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio (SIC) de conformidad con el procedimiento estipulado por la Circular 002 de 2015.

XI.ALCANCE Y FINALIDAD DE LAS AUTORIZACIONES OTORGADAS POR LOS TITULARES

Por regla general, el término de las autorizaciones sobre el uso de los datos personales, se entiende por el término de la relación comercial o de la vinculación a la compañía y mientras se encuentre vigente el desarrollo del objeto social de la compañía.

Si el titular de Datos personales es un cliente activo de BMO SUR S.A.S, no se podrán usar sus datos para objetivo diferente a la prestación del producto o servicio y para el ofrecimiento de renovaciones posteriores cuando el servicio tenga esta modalidad.

XII.VIGENCIA

La presente Política de Tratamiento de Datos Personales rige a partir del 5 de Marzo de 2019 con vigencia hasta el término estipulado en la Cámara de Comercio de Bogotá para el desarrollo del objeto social de la empresa y se encontrará a disposición de los titulares en la página web: www.bogotamovil.com.co.

El periodo de vigencia de las bases de datos de BMO SUR S.A.S SAS será el mismo periodo estipulado en los estatutos y para el desarrollo del objeto social de la empresa.

Cualquier cambio sustancial en la Política de Tratamiento de Datos Personales, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través del sitio web: www.bogotamovil.com.co.