POLÍTICAS DE PROTECCIÓN DE DATOS PERSONALESINTRODUCCIÓNAntojados APP  en su interés por hacerexplícitas sus políticas en materia de protección de datospersonales y actualizarlas de conformidad con las exigenciasde la Ley Estatutaria 1581 de 2012, por la cual se dictandisposiciones generales para la protección de datospersonales, así como de aquellas normas que la reglamenteno modifiquen, mediante el presente documento recoge loslineamientos que, en el marco de la Política de Información queha acogido, rigen en particular las actividades de tratamientode los datos personales contenidos en sus archivos o bases dedatos. Lo anterior, en armonía con el cumplimiento de lasdisposiciones especiales referidas al tratamiento de datospersonales de naturaleza financiera, crediticia, comercial y deservicios previstas en la Ley 1266 de 2008, así como en lasnormas que la reglamenten y modifiquen, que cobijan el origen,mantenimiento, administración y extinción de obligacionesderivadas de relaciones de tal naturaleza. El tratamiento dedatos personales previsto en la Ley 1581 de 2012, no resultaaplicable a las bases de datos y archivos que tengan porfinalidad la prevención, detección, monitoreo y control dellavado de activos y el financiamiento del terrorismo, así comotampoco resulta aplicable a las bases de datos o archivosexpresamente excluidos por la Ley. POLITICAS 1. La Entidad obtendrá y utilizará los datos personales que enefecto se requieran para el desarrollo de su objeto, paracumplir con sus deberes legales y para atender en debidaforma la relación que establezca con el titular del dato; deforma tal que evitará solicitar información ajena a dichospropósitos.2. La Entidad utilizará los datos personales conforme a lasfinalidades con las que tales datos sean obtenidos.Tales datos personales corresponderán a los de sus clientes,colaboradores, proveedores, administradores, aliados y engeneral a los de todas aquellas personas naturales con las quela Entidad se relaciona para el cumplimiento pleno de suobjeto.3. La Entidad obtendrá y utilizará datos personales siempreque se encuentre facultada para ello, bien porque la ley así lodispone, bien porque ello se deriva de la naturaleza de larelación que tiene con el titular de los datos o bien porque eltitular del dato la autoriza expresamente para el efecto.4. Cuando quiera que se precise autorización del titular para eltratamiento de sus datos personales:a. La Entidad informará al titular sobre la finalidad de taltratamiento y obtendrá de él su consentimiento expreso einformado.b. La autorización se obtendrá en forma previa al tratamientode los datos personales y, en todo caso, a más tardar almomento de la recolección inicial de tal información.c. La autorización podrá darse a través de cualquier medio quepermita su adecuada conservación, así como su consultaposterior.5. La Entidad implementará mecanismos que le permitan tenera disposición de los titulares la información de sus datospersonales, las finalidades para las que han sido tratadosy el tratamiento que se ha dado a los mismos.6. En los eventos en que la Entidad requiera utilizardatos personales para una finalidad distinta a lainicialmente informada a su titular y autorizada poréste o diferente a la señalada en la Ley o ajena a lanaturaleza de la relación que lo vincula con laEntidad, se deberá obtener del titular de los datosuna nueva autorización. La Entidad no tendrá quesolicitar una nueva autorización al titular cuando,conforme al ordenamiento jurídico, el nuevo uso searazonablemente previsible por parte el titular del datoal momento de consentir en su utilización, en elmarco de su relación con la Entidad.7. La Entidad ha previsto que siempre que los datospersonales sean suministrados por un tercero, esetercero debe contar con la autorización del titular quele permita compartir la información con la Entidad oestar amparado en la ley para ello. 8. En los casos en los que la Entidad contacte al titulardel dato a partir de los Datos Públicos que hayaobtenido, entendidos éstos como aquellos para cuyotratamiento no se requería la autorización previa delmismo, la Entidad deberá contar con autorización,bien dada por la ley o como consecuencia de lanaturaleza de la relación con el titular o bien porsolicitar del titular su autorización, para obtenerdatos adicionales, caso en el cual le informaráacerca de las finalidades para las que serán tratadoslos nuevos datos que le sean suministrados.9. En el tratamiento de datos de menores de edad, la Entidadtendrá en cuenta el interés superior de los mismos, asícomo la prevalencia de sus derechos. Adicionalmente, enlos eventos en que los derechos de tales menores seanejercidos por un tercero, la Entidad verificará que esetercero esté autorizado conforme a la ley para ello.10. En el evento en que la información recopilada correspondaa Datos Sensibles, entendidos éstos como aquellos queafectan su intimidad o cuyo uso indebido puede generar sudiscriminación, la Entidad debe informar al titular de lamisma Acerca del carácter de sensible de los datos que suministra yacerca de la posibilidad que tiene de suministrar o no dichainformación.11. La Entidad no condicionará la existencia y el mantenimientode su relación con el titular al suministro de DatosSensibles por parte de éste, a menos que tales datos enefecto deban obtenerse por ser indispensables para laexistencia y/o mantenimiento adecuado de la relación opara el cumplimiento de los deberes a cargo de la Entidady/o del titular.12. La Entidad velará porque los datos personales que seencuentran en sus archivos y bases de datos seanalmacenados y administrados en razonables condicionesde seguridad y confidencialidad.13. Son confidenciales los datos personales, excepto aquellosque tienen el carácter de públicos. La informaciónclasificada como confidencial debe ser conocida ymanejada exclusivamente por los funcionarios autorizadospor la Entidad para ello.14. Es responsabilidad de todos los colaboradores de laEntidad velar por la confidencialidad y seguridad de dichainformación y velar porque los terceros que acceden a lamisma (proveedores o contratistas) también seresponsabilicen de ella.El deber de reserva de los colaboradores frente a los datospersonales a los que tengan acceso se extiende despuésde finalizada la actividad realizada por éste en relación conel tratamiento.15. La Entidad informará a las autoridades competentes en lostérminos que señala la Ley las situaciones relevantes relativas a la administración de los datos personales queson objeto de tratamiento por parte de ella.16. La Entidad conservará los archivos o bases de datos quecontengan datos personales por el período que lanormatividad vigente así se lo exija o lo permita y lavigencia de las bases de datos estará atada al ejercicio delobjeto social de la Entidad.Sin perjuicio de lo anterior, el período mínimo deconservación de los datos personales del titularcorresponderá al término de duración de su relación legalo contractual con ésta o a aquel que sea requerido paraque la Entidad cumpla con sus obligaciones o aquelnecesario para que se puedan ejercer los derechos porparte del titular del dato en el marco de la naturaleza de larelación que los vincula.17. La Entidad velará porque se registren en los términos de lanormatividad vigente, las bases de datos que contengandatos personales objeto de tratamiento por su parte.18. La Entidad incorporará a sus procesos los mecanismospara que los titulares de datos personales que administrapuedan conocer, actualizar, rectificar y suprimir Sus Datos Personales, así como para revocar laautorización que para su utilización tales titulares hanotorgado, siempre que tal revocación conforme alordenamiento jurídico proceda, es decir, siempre que conla revocación de la autorización no se vulnere un deberlegal o contractual.Igualmente, los procedimientos previstos por la Entidadpreverán la divulgación de la presente política y de susmodificaciones en forma adecuada y oportuna.19. Los procedimientos se ajustarán de tal forma que lasconsultas o reclamos de los titulares sean atendidos enforma clara, sencilla y oportuna, y en todo caso, en untérmino que no podrá superar el previsto en la normatividadvigente. La Entidad velará por la suficiencia y claridad delas respuestas a tales consultas o reclamos.Adicionalmente, en los procedimientos internos la Entidadadoptará medidas de seguridad con el fin de: (i) evitar eldaño, pérdida, alteración, hurto o destrucción de los datospersonales, lo cual implica velar por la correcta operaciónde los procesos operativos y tecnológicos relacionadoscon esta materia; (ii) prevenir el uso, acceso o tratamientono autorizado de los mismos, para lo cual se preveránniveles de acceso y circulación restringida de dichainformación; y (iii) incorporar los criterios de seguridad delos datos personales como parte integral de la adquisición,desarrollo y mantenimiento de los sistemas de información.20. Es responsabilidad de la Administración la implementaciónde estas políticas. SANCIONES El incumplimiento de las políticas y procedimientosadoptados en materia de protección de datos personales por partede los colaboradores de la Entidad se considera falta grave y comotal será sancionado de conformidad con lo establecido en elReglamento Interno de Trabajo de la Entidad, al margen de lassanciones que puedan darse por violación de normas de carácterpenal o administrativo sancionatorio. Las presentes políticas entranen vigencia a partir de los diecisiete (17) días del mes de abril delaño 2013.Autorizo el uso de la Mi