Artículo I. Disposiciones generales

Sección 1.01 Definiciones

Las palabras escritas con mayúscula en esta Política tendrán, de conformidad con lo dispuesto en la Ley 1581 de 2012, así como en el Decreto 1377 de 2013 y los demás decretos que la reglamentan, el siguiente significado:

  • Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales;
  • Aviso de Privacidad: es la referencia hecha a la existencia de esta Política en los Términos y Condiciones publicados en la Plataforma de B&F.
  • Base de Datos: conjunto organizado de datos personales que sea susceptible de Tratamiento por parte de B&F;
  • Dato(s) personal(es): cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
  • Dato Público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva;
  • Datos Sensibles: se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos;
  • Encargado del Tratamiento: es B&F.
  • Plataforma: es el conjunto de aplicaciones móviles, de escritorio y/o web desarrolladas por o para B&F.
  • Responsable del Tratamiento: es B&F o cualquier persona natural o jurídica, pública o privada, que sea designada por ésta para darle tratamiento, conforme a esta Política, a los Datos Personales que le sean suministrados por los Titulares;
  • Términos y Condiciones: es el documento publicado por B&F en su Plataforma, independientemente del formato en el que se haya generado, en el que se regula, entre otros temas, el uso de la Plataforma y el Aviso de Privacidad mediante el cual se informa al Titular sobre la existencia de esta Política.;
  • Titular: es la persona natural que, conforme a lo dispuesto en esta Política y en los Términos y Condiciones que estén vigentes, le suministre sus Datos Personales a B&F;
  • Tratamiento: cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos;
  • Transmisión: es la comunicación de los Datos Personales, dentro o fuera de la República de Colombia, que tiene como objeto la realización de un Tratamiento por parte del Encargado, cuando este actúe por instrucciones de B&F;
  • Transferencia: es el envío de los Datos Personales que hace el Responsable y/o el Encargado del Tratamiento de datos personales, a un receptor que se encuentre dentro o fuera del país y que se constituye, a su vez, en Responsable del Tratamiento.

Artículo II. De la Política

Sección 2.01 Objeto

El objeto de la presente Política es, de conformidad con lo dispuesto en el artículo 17 de la Ley 1581 de 2012, definir (i) los deberes que debe observar B&F respecto de los Datos Personales que le son suministrados por los Titulares, así como (ii) los derechos y deberes que tienen los Titulares respecto de los Datos Personales suministrados.

Igualmente, es objeto de la presente Política, definir todos los procedimientos que debe observar B&F para el tratamiento de los Datos Personales.

Sección 2.02 Del Registro de las Bases de Datos

Esta Política, junto con las Bases de Datos, serán registradas por B&F en el Registro Nacional de Bases de Datos que lleva la Superintendencia de Industria y Comercio.

Igualmente, es la intención de B&F informarle a los Titulares que, dando cumplimiento a lo dispuesto en la legislación aplicable, actualizará el registro de las bases de datos (a) dentro de los primeros 10 días hábiles de cada mes, cuando haya habido cambios en la (i) finalidad, (ii) la designación del Encargado del Tratamiento, (iii) los canales de atención dispuestos por B&F, (iv) los tipos de Datos Personales que componen la Base de Datos, (v) esta política y (vi) las condiciones de Transferencia y/o Transmisión de Datos Personales; o, en su defecto, (b) durante los primeros 3 meses de cada año calendario cuando no haya habido cambios.

Adicionalmente, siguiendo lo dispuesto en el numeral 2.1 de la Circular Externa No. 002 de 2015 de la Superintendencia de Industria y Comercio (“SIC”), se reportarán las novedades relacionadas con reclamos y/o incidentes de seguridad que se hayan presentado, conforme a lo que se indica a continuación:

(a) Reclamos: se hará un reporte semestral, para cada semestre calendario, en el cual se informe el consolidado de reclamos que haya recibido B&F durante el semestre correspondiente. Este reporte se presentará a la SIC en junio y diciembre de cada anualidad.

(b)   Incidentes de seguridad: dentro de los 15 días hábiles siguientes a la fecha en la que se hayan detectado los incidentes de seguridad.

Sección 2.03 Principios procedimentales

Los principios consagrados en la Ley 1581 de 2012, desarrollados por el Decreto 1377 de 2013 regularán, en su integridad, los procedimientos consagrados en esta Política. En particular, serán aplicables los siguientes:

  • Principio de legalidad: El Tratamiento de Datos Personales que realice B&F debe sujetarse a lo establecido en las leyes aplicables en la República de Colombia;
  • Principio de finalidad: Datos Personales recogidos por B&F debe obedecer a una finalidad legítima, la cual debe ser informada al Titular;
  • Principio de libertad: el Titular de los Datos Personales deberá tener, en todo momento, la capacidad de dar o retirar, de manera libre e informada, su consentimiento. Los Datos Personales no podrán ser obtenidos o divulgados sin previa Autorización, o en ausencia de mandato legal o judicial;
  • Principio de veracidad o calidad: la información entregada por los usuarios se presumirá, en todo caso, completa, exacta, actualizada, comprobable y comprensible;
  • Principio de transparencia: el Titular tendrá derecho a obtener, de B&F, en cualquier momento y sin restricciones, información acerca de la existencia de Datos Personales de los cuales sea Titular;
  • Principio de acceso y circulación restringida: Los Datos Personales estarán, en todo momento, bajo custodia de B&F o del Responsable del Tratamiento designado por ésta. Los Datos Personales no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva. Sin embargo, resulta sumamente importante que usted, como Titular, tenga en cuenta que la seguridad perfecta no existe en Internet y, por esto, B&F no se hace responsable por interceptaciones ilegales o violación de sus sistemas o bases de datos por parte de personas no autorizadas, ni por la indebida utilización de la información obtenida por dichos medios ilícitos;
  • Principio de seguridad: B&F utilizará las medidas de seguridad que resulten comercialmente razonables, conforme al estado de la técnica de uso común en la industria, para proteger la seguridad de los Datos Personales y evitar, así, su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  • Principio de confidencialidad: B&F estará obligada a que los términos de esta Política sean respetados por todas y cada una de las personas con las que tenga vinculación y que, cualquiera que sea la razón, sean designados por ésta como Responsables del Tratamiento. En consecuencia, la obligación de confidencialidad de los Datos Personales contenida en los Términos y Condiciones y en esta Política se extenderá a cualquier Responsable del Tratamiento designado por B&F.

Artículo III. Del Titular

Sección 3.01 Autorización

(a)   Los Datos Personales son obtenidos por B&F conforme a esta Política y a los Términos y Condiciones publicados en la Plataforma y, en cualquier caso, son suministrados por el Titular de manera libre.

(b)   Es responsabilidad del Titular leer el contenido completo de esta Política y de los Términos y Condiciones que estén vigentes, los cuales se entienden previamente conocidos y expresamente aceptados por el Titular al momento dar su consentimiento a los Términos y Condiciones de uso de la Plataforma.

(c)    El Titular declara y reconoce que, al publicar esta Política y los Términos y Condiciones, B&F ha dispuesto de los mecanismos necesarios para obtener la Autorización de los Titulares antes o en el momento de la recolección de los Datos Personales, todo lo cual es totalmente verificable.

Sección 3.02 Propósitos de la obtención de Datos Personales

B&F tiene los siguientes propósitos para recolectar los Datos Personales:

  • Dar cumplimiento de las obligaciones adquiridas en virtud de los contratos celebrados con nuestros proveedores, aliados, funcionarios y clientes, así como la administración, prestación, ampliación y mejora de los servicios a los que nuestros usuarios han decidido suscribirse.
  • El envío de actualizaciones de los servicios, bien sea por medios tradicionales y/o electrónicos, de información comercial acerca de los servicios ofrecidos por B&F, sus aliados y Vinculadas.
  • Desarrollar estudios internos sobre los intereses, el comportamiento y la demografía de los Titulares, con el objetivo de enviar actualizaciones de los servicios que se encuentren dentro de sus necesidades e intereses; con lo cual B&F busca darles un mejor servicio y proveerles información relacionada a nuestros clientes y/o usuarios finales.
  • Analizar las visitas y las búsquedas en internet realizadas por nuestros usuarios para mejorar nuestras iniciativas comerciales y promocionales, perfeccionar nuestra oferta de contenidos y personalizar dichos contenidos y servicios de conformidad las necesidades particulares de nuestros clientes y usuarios finales.
  • Enviar información o mensajes de texto, utilizando cualquier medio tecnológico disponible o por ser descubierto, sobre nuevos servicios, publicidad o promociones y banners de interés para nuestros usuarios y/o clientes; noticias sobre los portales que hacen parte del portafolio comercial de B&F, además de toda otra información que creamos conveniente y que se ajuste a las necesidades y preferencias de los usuarios finales y/o clientes.
  • El envío de correspondencia, correos electrónicos o contacto telefónico a nuestros proveedores, clientes y/o usuarios en desarrollo de actividades comerciales, industriales, publicitarias, promocionales, estudios de mercadeo enfocados a la actividad que desarrolla y ejecutan B&F, sus aliados comerciales y sus vinculadas.
  • Para compartirlos o enviarlos a terceros con quienes realice alianzas o contratos para fines comerciales relacionados con la ejecución de las actividades comprendidas dentro del objeto social de B&F, siempre que se garantice que estos terceros tratarán los Datos Personales bajo los mismos estándares aquí establecidos y en la ley aplicable.
  • Para los fines descritos en otros artículos de esta Política y/o de los Términos y Condiciones.

Sección 3.03 Mecanismos y forma de otorgar la Autorización

La Autorización reposará en un documento físico, electrónico o en cualquier otro formato, conocido o por conocerse, que permita (i) garantizar su posterior consulta, (ii) verificar la trazabilidad de la autorización y (iii) verificar la existencia del consentimiento expreso del Titular para la obtención de los Datos Personales. Para efectos de lo anterior, la Autorización es aquella contenida en el Artículo IV de los Términos y Condiciones.

La Autorización por parte del Titular implica lo siguiente:

(a)   Que autoriza a B&F para que obtenga, en calidad de Encargado o Responsable del Tratamiento, los Datos Personales.

(b)   Que la autorización es respecto de los datos que se mencionan en el Artículo IV de los Términos y Condiciones.

(c)   Que autoriza la recolección de los datos para los fines ahí contenidos.

(d)   Que tiene el derecho a acceder, corregir, actualizar y suprimir los datos personales suministrados.

Sección 3.04 Contenido mínimo del aviso de privacidad

El Aviso de Privacidad publicado junto con los Términos y Condiciones, deberá contener la siguiente información:

(a)   La identidad, domicilio y datos de contacto del Responsable del Tratamiento;

(b)   El tipo de tratamiento al cual serán sometidos los datos y la finalidad del mismo;

(c)    Los derechos que le asisten al Titular;

(d)   Los mecanismos generales dispuestos por el Responsable del Tratamiento para que el Titular conozca el contenido de esta Política y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente; así como la forma en la que el Titular podrá acceder o consultarlos.

(e)   No obstante, cuando se recolecten datos personales sensibles, el aviso de privacidad señalará expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

El Aviso de Privacidad de B&F está publicado en los Términos y Condiciones que pueden ser consultados en los sitios web [▪].

Artículo IV. Derechos y Deberes

Sección 4.01 Derechos del Titular de datos

El Titular podrá solicitarle a B&F que se abstenga de Transmitir y/o Transferir sus Datos Personales a terceros, enviando un correo electrónico a la dirección [▪]. B&F se abstendrá de Transmitir y/o Transferir los Datos Personales de los Titulares que así se lo soliciten, salvo (i) en los eventos en los que la misma sea requerida por cualquier autoridad competente, mediante orden judicial o ejecutiva, (ii) cuando sea requerida por B&F para proteger sus derechos, o (iii) cuando sea requerida por B&F para hacer valer alguna declaración o garantía a su favor.

Los Titulares de los Datos Personales contenidos en nuestras bases de datos, tendrán derecho a:

(a)   Conocer, actualizar y rectificar sus Datos Personales.

(b)   Presentar consultas, quejas y/o reclamos relacionados con el tratamiento de sus Datos Personales.

(c)    Solicitar prueba de la Autorización otorgada.

(d)   Solicitar la exclusión de su información personal de cualquier Base de Datos.

(e)   Revocar, en cualquier momento, la Autorización.

Cualquier otro derecho desarrollado en las leyes aplicables a la protección de datos personales.

Sección 4.02 Deberes de B&F

Los Datos Personales son propiedad exclusiva de sus Titulares y, por lo tanto, B&F sólo hará uso de ellos para las finalidades comprendidas en la Autorización. En consecuencia, se compromete a cumplir con los siguientes deberes:

(a)   Garantizarle al Titular el pleno y efectivo ejercicio del derecho de Hábeas Data;

(b)   Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado y/o fraudulento. Sin embargo, resulta sumamente importante que usted, como Titular, tenga en cuenta que la seguridad perfecta no existe en Internet y, por esto, B&F no se hace responsable por interceptaciones ilegales o por la violación de sus sistemas o bases de datos por parte de personas no autorizadas, ni por la indebida utilización de la información obtenida por dichos medios ilícitos;

(c)    Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la Autorización;

(d)   Garantizar que la Transmisión y/o Transferencia contenga, únicamente, información veraz, completa, exacta, actualizada, comprobable y comprensible;

(e)   Realizar oportunamente, esto es en los términos previstos en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos;

(f)    Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;

(g)   Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

(h)   Informar, a solicitud del Titular, el uso dado a sus Datos Personales;

(i)    Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en los artículos 14 y 15 de la Ley 1581 de 2012;

(j)    Insertar en la Base de Datos la leyenda “información en discusión judicial” una vez sea notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del Dato Personal;

(k)   Insertar en la Base de Datos la leyenda “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles de recibido el reclamo completo.

(l)     Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

(m)  Permitir el acceso a los Datos Personales, únicamente a las personas que pueden tener acceso a ellos;

(n)   Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

(o)   Designar un área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refieren la Ley 1581 de 2012 y el Decreto 1377 de 2013.

(p)   Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio o cualquier otra autoridad competente.

Artículo V.   Procedimiento de Acceso, Consulta y Reclamaciones

Sección 5.01 Derecho de Acceso

El Titular tiene derecho a consultar, de manera gratuita, (i) si sus Datos Personales están siendo tratados por B&F y (ii) cuál es alcance, las condiciones y las generalidades de dicho Tratamiento. De esta manera, B&F, le garantiza al Titular que:

(a)   Podrá conocer, en cualquier momento, si sus Datos Personales están siendo objeto de Tratamiento.

(b)   Tendrá acceso a sus Datos Personales.

(c)    Podrá conocer el tipo de datos personales tratados y todas y cada una de las finalidades que justifican el Tratamiento.

En cualquier caso, B&F sólo garantizará las prerrogativas contenidas en esta Sección 5.01, (i) a aquellos Titulares que acrediten, de manera legalmente válida e inequívoca, su identidad o la de su Representante Legal y (ii) únicamente respecto de los Datos Personales vinculados a la identificación del Titular.

Sección 5.02 Procedimiento de Consulta

Para la atención de solicitudes de consulta de Datos Personales B&F:

(a)   Podrá establecer, a su discreción, siempre que así aparezca indicado en los Términos y Condiciones (i) los medios de comunicación electrónica que considere pertinentes, (ii) el uso de formularios electrónicos u otros métodos simplificados y (iii) los servicios de atención al cliente habilitados en el correo electrónico [▪].

(b)   En cualquier caso, la atención de solicitudes de consulta será atendida en un término no mayor a diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, antes del vencimiento de los diez (10) días, (i) las razones de la demora y (ii) la fecha en la que se atenderá la consulta dentro de, máximo, los siguientes cinco (5) días hábiles siguientes al vencimiento del término inicial.

Sección 5.03 Procedimiento de Reclamos

De conformidad con lo establecido en el artículo 15 de la Ley 1581 de 2012, el Titular que considere que la información contenida en una Base de Datos debe ser objeto de corrección, actualización o supresión; o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, el Decreto 1377 de 2013 o cualquier otra norma aplicable, podrán presentar un reclamo ante B&F y/o el Responsable del Tratamiento. Este reclamo será atendido conforme a las siguientes reglas:

(a)   El reclamo lo deberá hacer el Titular o su representante legal, quien deberá (i) identificarse conforme a lo dispuesto en la Sección 5.01 de esta Política, (ii) describir los hechos que dan lugar al reclamo, (iii) adjuntar la información que considere pertinente para sustentar su reclamo.

(b)   En caso de que la información mencionada en la Sección 5.03(a), B&F le solicitará al Titular que complemente la información suministrada con los datos que resulten razonablemente necesarios para atender de manera precisa el reclamo. En caso de que el Titular no aporte la documentación adicional requerida por B&F, dentro de los treinta (30) días siguientes a la fecha de la solicitud, B&F considerará que el Titular desistió del reclamo y, en consecuencia, procederá a archivarlo. No obstante, el Titular tendrá total discrecionalidad de volver a presentar su reclamo.

(c)    Si B&F identifica que un reclamo recibido no debería estar dirigido a B&F, se lo hará saber, a la mayor brevedad posible, al Titular.

(d)   Conforme a lo dispuesto en la ley 1581 de 2012 y en el Decreto 1377 de 2013, se incluirá la leyenda “reclamo en trámite” en la base de datos, así como el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda se mantendrá hasta que el reclamo sea decidido

(e)   El reclamo será atendido en un término no mayor a quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado, antes de su vencimiento, los motivos de la demora y la fecha en la que se atenderá; la cual, en ningún caso, podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Sección 5.04 Tipos de reclamo y condiciones para atenderlos

El Titular o su representante legal podrá presentar, conforme a lo dispuesto en la Ley 1581 de 2012 y en los decretos que lo reglamentan y adicionan, los siguientes tipos de reclamo:

(a)   Los relacionados con la rectificación o actualización de sus Datos Personales. Este tipo de reclamos deberá contener, como mínimo, la siguiente información:
(i)    El nombre y domicilio del Titular o cualquier otro medio para recibir la respuesta.
(ii)    Los documentos que acrediten la identidad o la personalidad de su representante.
(iii)    La descripción clara y precisa de los datos personales respecto de los cuales el Titular busca ejercer alguno de los derechos.
(iv)    La actualización que se busca hacer, cuando resulte aplicable.
(v)    En caso dado otros elementos o documentos que faciliten la localización de los Datos Personales.

(b)   Los relacionados con la supresión de sus datos personales. El Titular podrá solicitar la supresión de sus Datos Personales cuando (a) considere que estos no están siendo tratados por B&F conforme a lo dispuesto en la ley 1581 de 2012 y en el Decreto 1377 de 2013, (b) hayan dejado de ser pertinentes para la finalidad para la cual fueron recolectados, o (c) se haya vencido el plazo necesario para realizar las actividades para las cuales fueron recolectados. Igualmente, B&F le informa que podrá rechazar su solicitud de supresión de datos cuando:
(i)    El Titular tenga un deber legal o contractual de permanecer en la Base de Datos.
(ii)    La eliminación de Datos Personales obstaculice actuaciones judiciales o administrativas en las cuales B&F esté vinculada.
(iii)    Sirvan para esclarecer la investigación y persecución de delitos o la actualización de sanciones administrativas, caso en el cual deberá haber una orden de autoridad competente para suministrarle dichos Datos Personales.
(iv)    Los Datos Personales sean necesarios para proteger los intereses jurídicamente tutelados de B&F; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.

En caso de resultar procedente la cancelación de los Datos Personales, B&F, debe realizar la supresión de tal manera que no sea posible la recuperación de la información.

Sección 5.05 Revocatoria de la autorización

Los Titulares pueden revocar el consentimiento al Tratamiento de sus Datos Personales en cualquier momento, siempre y cuando no lo impida una disposición legal u otra contenida en la Sección 5.04(b).

Para ello, B&F deberá establecer mecanismos sencillos, de fácil acceso y gratuitos que permitan al Titular revocar su consentimiento, al menos por el mismo medio por el que lo otorgó y en los términos estipulados en la ley 1581 de 2012, sus Decretos reglamentarios y normas modificatorias o complementarias.

Igualmente, se pone en conocimiento del Titular que la revocatoria de la autorización podrá darse para (i) tratar la totalidad de los Datos Personales o (ii) tratar los Datos Personales para una finalidad particular como, por ejemplo, el envío de comunicaciones para fines publicitarios o de mercadeo, caso en el cual los datos continuarán en las Bases de Datos de B&F. El Titular deberá indicar, en su solicitud de revocatoria, la alternativa que está eligiendo.

Los mecanismos o procedimientos que B&F establezca para atender las solicitudes de revocatoria del consentimiento otorgado no podrán exceder los plazos previstos en la Sección 5.03.

Artículo VI.  Seguridad de la Información

Sección 6.01 Medidas de seguridad

B&F adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

No obstante, resulta sumamente importante que usted, como Titular de sus Datos Personales, tenga en cuenta que la seguridad perfecta no existe en Internet y, por esto, B&F no se hace responsable por interceptaciones ilegales o violación de sus sistemas o bases de datos por parte de personas no autorizadas, ni por la indebida utilización de la información obtenida por esos medios.

Sección 6.02 Protocolos de seguridad

B&F implementará los protocolos de seguridad que resulten comercialmente razonables, conforme al estándar de la industria, para proteger sus Datos Personales y velará por su obligatorio cumplimiento por parte del personal que necesariamente deba tener acceso a ellos.

Los protocolos de seguridad incluirán los siguientes aspectos:

(a)   Capacitación del personal que ingresa a la Compañía acerca de la Política de Tratamiento de Datos Personales y los mecanismos y protocolos de seguridad para su tratamiento.

(b)   Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de 2012 y el Decreto 1377 de 2013.

(c)    Estructura de las bases de datos de carácter personal y descripción de los sistemas de información que los tratan.

(d)   Procedimiento de notificación, gestión y respuesta ante las incidencias.

(e)   Procedimientos de realización de copias de respaldo y de recuperación de los datos.

(f)    Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se implemente.

(g)   Medidas para adoptar cuando un soporte o documento sea transportado, desechado o reutilizado.

El procedimiento se mantendrá actualizado y será revisado siempre que se produzcan cambios relevantes en (i) la regulación aplicable o (ii) en el sistema de información o en la organización del mismo.

Artículo VII. Transferencia y Transmisión de Datos Personales

Sección 7.01 Transmisión y Transferencia Nacional e Internacional

B&F podrá realizar Transferencias y Transmisiones de Datos Personales de carácter nacional y/o internacional, siempre y cuando adopte las medidas necesarias para que los receptores de la Transmisión o Transferencia conozcan y se comprometan a observar esta Política, bajo el entendido que la información personal que reciban, únicamente podrá ser utilizada para las finalidades establecidas en los Términos y Condiciones y en esta Política. En consecuencia, la información Transmitida y/o Transferida no podrá ser usada por su receptor para algún propósito o fin diferente al contenido en los Términos y Condiciones y en esta Política.

La Transferencia internacional de Datos Personales se hará, en todo caso, con especial apego a lo dispuesto en el artículo 26 de la Ley 1581 de 2012.

Las Transmisión internacional de Datos Personales no requerirá (i) ser informada al Titular, ni (ii) contar con su consentimiento, siempre y cuando medie un contrato de Transmisión de Datos Personales de conformidad con lo dispuesto en los artículos 24 y 25 del Decreto 1377 de 2013.

Con la aceptación de los Términos y Condiciones y de la presente Política, el Titular autoriza expresamente a B&F para transferir y transmitir sus Datos Personales a otros países.

Artículo VIII. Capítulo VII Disposiciones Finales

Sección 8.01 Responsable

B&F designa a su área de tecnología (“IT”), para cumplir con la función de protección de Datos Personales en los términos de la presente Política.

IT o quien haga sus veces, dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos de acceso, consulta, rectificación, actualización, supresión y revocatoria a que se refiere la Ley 1581 de 2012.

Sección 8.02 Vigencia.

La presente Política rige a partir de su promulgación y continuará vigente hasta que B&F, a su entera discreción, decida remplazarla o actualizarla.

Sección 8.03 Ley Aplicable

Esta Política está regida por lo dispuesto en la Ley 1581 de 2012, el Decreto 1377 de 2013 y el Decreto 886 de 2014; así como por las demás normas que los complementen, adicionen, modifiquen o sustituyan.