POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE

AMERICAN CROWN GROUP S.A.S.

1. INTRODUCCIÓN La protección de Datos Personales es un derecho fundamental contenido en el artículo 15 de la Constitución Política, que le permite a toda persona conocer, actualizar, rectificar y/o cancelar la información y datos personales sobre ella, que hayan sido recolectados y/o tratados en bases de datos; y reglamentada por la Ley 1581 de 2012, por medio de la cual se establecieron las disposiciones generales para la Protección de Datos Personales; y el Decreto único 1074 de 2015 (que incorpora los Decretos 1377 de 2013 y 886 de 2014). 

 

2. OBJETIVO Y ALCANCE. AMERICAN CROWN GROUP S.A.S. (en adelante LA COMPAÑÍA) con la finalidad de dar estricto cumplimiento a la normatividad legal vigente sobre la protección de Datos Personales, se permite presentar sus Políticas de Tratamiento en materia de protección de Datos Personales (en adelante la “Política”) en relación con la recolección, uso y transferencia de los mismos, en virtud de la autorización que haya sido otorgada por los Titulares de los Datos Personales. En esta Política, LA COMPAÑÍA detalla los lineamientos corporativos generales que se tienen en cuenta a efectos de proteger los Datos Personales de los Titulares; así mismo, LA COMPAÑÍA en cumplimiento del derecho constitucional al Habeas Data, solo recolecta Datos Personales, cuando haya sido autorizada de manera previa, informada y expresa por pate de su Titular, implementando para tal efecto, medidas claras sobre confidencialidad y privacidad de los Datos Personales, además dará trámite expedito y legal a las solicitudes y reclamaciones hechas por los Titulares de la información o las personas a quienes se les pueda suministrar la información. 

3.DEFINICIONES PARA EFECTOS DE LA POLÍTICA:

Para efectos de la presente Política, se tendrán en cuenta las definiciones a continuación: ● Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales. ● Base de datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento. ● Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. ● Dato Sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación. ● Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento. ● Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. ● Políticas de Manejo, Tratamiento y Protección de Datos Personales: se refiere al presente documento. ● Titular: Persona natural o jurídica cuyos Datos Personales sean objeto de Tratamiento. ● Transferencia de Datos: Tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. ● Transmisión de Datos: Es un tratamiento de datos que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. ● Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión. 

POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. 

● Cliente o Afiliado: Cualquier persona que haya contratado los servicios de LA COMPAÑÍA, y/o que se encuentre como co-Titular o beneficiario del mismo, mediante la suscripción del contrato de prestación de servicios denominado

“CONTRATO DE COMPRAVENTA DE COMPRAVENTA PARA LA AFILIACIÓN AL PROGRAMA DE AMERICAN CROWN GROUP”. ● Prospecto de cliente o no afiliado: Cualquier persona que se encuentre interesado(a) en contratar los servicios ofrecidos o requeridos de LA COMPAÑÍA, y que se encuentre en una etapa pre-contractual, o simplemente se encuentre recibiendo información de LA COMPAÑÍA acerca de sus servicios, promociones, beneficios, entre otros, y que aún no tenga ningún vínculo contractual o de consumo con LA COMPAÑÍA. ● Trabajador: persona que ejecuta toda actividad humana libre, ya sea material o intelectual, permanente o transitoria, conscientemente al servicio de otra, y cualquiera que sea su finalidad, siempre que se efectúe en ejecución de un contrato de trabajo. ● Contratista: Son contratistas independientes y, por tanto, verdaderos patronos de sus trabajadores y no representantes ni simples intermediarios, las personas que contraten la ejecución de una o varias obras o labores en beneficio ajeno por un precio determinado, asumiendo todos los riesgos, para realizarlos con sus propios medios y con libertad y autonomía técnica y directiva. Pero el beneficiario del trabajo, dueño de la obra o base industrial a menos que se trate de labores extrañas a las actividades normales de su empresa o negocio, será solidariamente responsable con el contratista por el valor de los salarios y de las prestaciones e indemnizaciones a que tengan derecho los trabajadores, solidaridad que no obsta para que el beneficiario estipule con el contratista las garantías del caso o para que repita contra él lo pagado a esos trabajadores. ● Proveedor de servicio: Quien de manera habitual, directa o indirectamente, ofrezca, suministre o comercialice servicios con o sin ánimo de lucro.

4. PRINCIPIOS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES: De conformidad con el artículo 4 de la Ley 1581 de 2012, los principios que rigen el Tratamiento de los Datos Personales son: ● Principio de legalidad en materia de Tratamiento de datos: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen. ● Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. ● Principio de libertad: El Tratamiento solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. ● Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos parciales, incompletos, fraccionados o que induzcan a error. ● Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de Datos que le conciernan. ● Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales. En este sentido, el Tratamiento solo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los Datos Personales, salvo la información pública no pueden estar disponibles en medios de divulgación o comunicación masiva, salvo con acceso restringido sólo a los Titulares o terceros autorizados. ● Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Versión 02 Página 3 de 10 POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. ● Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo solo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. 5.

AUTORIZACIÓN Y SUS FINES: LA COMPAÑÍA es una sociedad comercial de derecho privado, legalmente constituida y matriculada ante la Cámara de Comercio de Bogotá, e identificada con NIT. 901.413.105-6 y matrícula mercantil No. 3378152, y tiene como actividad económica la prestación de servicios turísticos nacionales o extranjeros, en calidad de Oficina de Representación Turística y/o Agencia de Viajes Mayorista, es decir que, actúa por virtud de un contrato de agencia comercial u otra forma de mandato, siendo intermediaria para la venta, promoción o explotación de servicios turísticos ofrecidos por otras personas; en efecto, LA COMPAÑÍA no presta de forma directa estos servicios turísticos, razón por la cual, además, a nombre del AFILIADO (cliente), programa, reserva u organiza planes turísticos para ser ejecutados por las Agencias de Viajes Operadoras o de Turismo, que directamente se encarguen de brindar el servicio. En lo que respecta a su clasificación de actividad económica CIIU, LA COMPAÑÍA ha registrado ante la Cámara de Comercio de Bogotá la 7911 (Actividades de Agencias de Viajes), la 7912 (Actividades de Operadores Turísticos y la 7990 (Otros servicios de Reserva y Actividades Relacionadas). Desarrolla la promoción de dicha actividad comercial mediante marketing relacional con personas naturales y jurídicas, con metodologías de ventas no tradicionales, a fin de lograr un vínculo de fidelización en asuntos turísticos y vacacionales, sostenibles y renovables en el tiempo con el consumidor, por lo que podrá captar los datos de forma previa y expresa solicitando la respectiva autorización ya sea por medio escrito, telefónico, manifestaciones inequívocas y/o virtual. Es ese sentido, la autorización del Titular será obtenida por LA COMPAÑÍA por cualquier medio que pueda ser objeto de consulta posterior, que puede ser, pero no se limita a: Escrita, telefónica, video-digital, virtual, aplicaciones móviles de redes sociales (Facebook, Instagram, etc.), cualquier otra manifestación inequívoca. Asimismo, se tendrá para ello los siguientes canales: CRA 65 No. 11-50 LC 3-069 NUESTRO BOGOTÁ, Bogotá D.C. teléfonos: +57 3108169244, 3233188715, 3233188728, 321214334, 3104863423; dirección de correo electrónico: atencionalcliente@americancrowngroup.com, administrativo@americancrowngroup.com, contactenos@ortizgabogados.com En virtud de lo anterior, los Datos Personales de los Titulares podrán ser recolectados por LA COMPAÑÍA en desarrollo de su actividad económica, para las siguientes finalidades: A. En los Clientes, Afiliados o Prospecto de Clientes: ● Finalidad: Ejecutar la compra de servicios de intermediación, gestión y/o relacionada para la adquisición de beneficios en la compra de servicios de paquetes turísticos (hoteles, tiquetes aéreos, transporte, alimentación, etc.); realizar campañas de publicidad y mercadeo, con el fin de ofrecer constantemente descuentos, promociones y/o cualquier otro beneficio de servicios o productos propios o de terceros de manera directa a el Titular o masivamente a todos los Clientes; entrega de premios o bonos de descuentos, cortesías, entre otros; ejecución de contratos de fidelización; realizar actividades de tele mercadeo; realizar apoyo en la gestión de estudios de créditos financieros que permitan facilidades de pago; realizar acuerdo de pago bajo sistema de financiación directa con LA COMPAÑÍA en los servicios adquiridos o contratados; ofrecer convenios comerciales; enviar información directamente al Titular sobre actividades que pueda desarrollar LA COMPAÑÍA o envío de información comercial y/o de servicios turísticos que se considere de interés a través de los diferentes medios; dar cumplimiento a las obligaciones legales y contractuales de información a los entes administrativos o judiciales, así como a las autoridades competentes que lo requieran; controlar las solicitudes relacionadas con los servicios prestados por LA COMPAÑÍA; solicitar mediante la representación de firmas de servicios jurídicos o abogados, la negociación de controversias sobre la ejecución del contrato de fidelización, o ser contactado para dar respuesta a las PQRS presentadas por conducto de estos servicios jurídicos externos o internos; requerir el cumplimiento de obligaciones de pagos o de hacer o no hacer pendientes y a favor de LA COMPAÑÍA; compartir con terceros que colaboran mediante sus convenios comerciales de beneficios en los servicios prestados o que en general colaboren con LA COMPAÑÍA y que para el cumplimiento de sus funciones a favor de El Titular deban acceder en alguna medida a la información, tales como servicios de mensajería, transporte de mercancía, agencias de viajes, agencias u operadores de turismo o de transporte aéreo, terrestre o marítimo, líneas empresariales de hoteles, aerolíneas, agencias de publicidad, abogados o firmas de servicios jurídicos con poder especial o general debidamente otorgado, proveedores de servicios y/o productos; cualquier otra finalidad que llegare a Versión 02 Página 4 de 10

POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. resultar en desarrollo del contrato de fidelización/afiliación o la relación comercial entre LA COMPAÑÍA y el Titular. B. En los Proveedores: ● Finalidad: Será usados en relación al vínculo comercial o de servicios entre el proveedor y LA COMPAÑÍA, generación y envío de facturas físicas o electrónicas, órdenes de compras, notas contables, reporte de novedades y capacitaciones, velar por la seguridad de empleados, clientes/afiliados, terceros y bienes de LA COMPAÑÍA, mantener un archivo digital que permita contar con la información correspondiente a cada contrato, solución de controversias pre-jurídicas como citación a audiencias privadas de conciliación o de transacción, así como para la iniciación de acciones judiciales ante cualquier juez de la república, o entidad administrativa con funciones jurisdiccionales y ante la Fiscalía General de la Nación; las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, de acuerdo con la ley. C. En los que prestan servicios de trabajo directamente (laboral) o no (prestadores de servicios, corredores, obra o labor): ● Finalidad: Guardar la información para todos los usos inherentes a la relación laboral, civil y/o comercial; mantener un archivo digital que permita contar con la información correspondiente a cada contrato, guard ar historia laboral, incapacidades, pago de salarios/honorarios/servicios, pago de comisiones o bonificaciones, parafiscales, afiliación al sistema de seguridad social integral, capacitaciones, procesos disciplinarios; En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad la identificación, seguridad y la prevención de fraude interno y externo; velar por su seguridad, la de clientes, terceros y bienes de la compañía; solución de controversias prejurídicas como citación a audiencias privadas de conciliación o de transacción, así como para la iniciación de acciones judiciales ante cualquier juez de la república, o entidad administrativa con funciones jurisdiccionales y ante la Fiscalía General de la Nación; generación de carnet o cualquier otra identificación empresarial. LA COMPAÑÍA conservarán la prueba de dichas autorizaciones de forma adecuada, respetando los principios de confidencialidad y privacidad de la información. La información suministrada por el Titular solo será utilizada para los propósitos aquí señalados y podrá ser eliminada a solicitud del Titular siempre y cuando no subsista una relación legal o contractual con el Titular y/o cuando cese la finalidad del tratamiento. Los Datos Personales recolectados son almacenados a través de un sistema digital y físico bajo impresión en archivo, el cual es suministrado y alimentado por trabajadores de LA COMPAÑÍA o proveedores especializados en la materia, con quienes se suscriben acuerdos de confidencialidad para la adecuada protección de la información que allí se almacena, en caso que así se requiera. Cada persona que tenga con ocasión a la ejecución de los servicios ofrecidos y prestados por LA COMPAÑÍA, contacto directo e indirectos con los Datos Personales, suscriben acuerdos de confidencialidad y de no revelación de la información, siendo usados estos estrictamente para el cabal cumplimiento de sus funciones, a beneficio del Afiliado y/o prospecto de cliente, o simplemente por la debida ejecución del contrato de servicios que suscriba. La autorización del Titular no será necesaria cuando se trate de: 1. Entrega de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. 2. Tratamiento de Datos de naturaleza pública. 3. Casos de urgencia médica o sanitaria. 4. Tratamiento de información para fines históricos, estadísticos o científicos en los cuales no se vincule la información a una persona específica. 5. Datos relacionados con el Registro Civil de las Personas. 6. TRATAMIENTO: De acuerdo con los deberes que le asisten a LA COMPAÑÍA en calidad de Responsable y a su vez Encargado del Tratamiento, le informa a los Titulares de los Datos Personales, que realizará operaciones o conjunto de operaciones que incluyen recolección de datos, almacenamiento, uso, circulación y/o supresión de los mismos. Este tratamiento será efectuado únicamente para las finalidades previstas en la presente Política siempre que hayan sido previamente autorizadas por el Titular. Versión 02 Página 5 de 10

POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. Asimismo, en ejecución del objeto social de LA COMPAÑÍA, los Datos Personales serán tratados de acuerdo con el grupo de interés y de manera proporcional a las finalidades de cada tratamiento. Todos los trabajadores o contratistas de LA COMPAÑÍA, al realizar las actividades propias de su cargo o área, asumirán las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final. La información será usada, almacenada o destruida así:

A.

USO DE LA INFORMACIÓN: La información personal contenida en las bases de datos debe ser utilizada y tratada de acuerdo con las finalidades descritas en el numeral quinto de la presente política. Igualmente, se deben tomar en consideración los siguientes supuestos: ● En caso de que un área diferente de la que recolectó inicialmente el dato personal requiera utilizarlos, ello se podrá hacer siempre que se trate de un uso previsible por el tipo de servicios que ofrece la Entidad y para una finalidad contemplada dentro de la presente Política. ● Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni Datos Personales. Por lo anterior, no se podrán reciclar documentos que contengan hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona. ● En caso de que un Encargado haya facilitado Datos Personales o bases de datos a algún área para un fin determinado, el área que solicitó los Datos Personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los Datos Personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un Titular haya presentado algún reclamo. ● Los trabajadores o contratistas no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validarla a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del Titular del dato, en los casos en que así sea necesario. ● Únicamente los trabajadores y contratistas autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por la Oficina de Servicio al Cliente, o Talento Humano según corresponda, de acuerdo a los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información personal. ● Cualquier uso de la información diferente al establecido, será previamente consultado con la persona o área encargada.

B. ALMACENAMIENTO DE LA INFORMACIÓN: El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

C. DESTRUCCIÓN: La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

7. DERECHOS DEL TITULAR DE LOS DATOS PERSONALES.

De conformidad con el art. 8 de la Ley 1581 de 2012, el Titular de los Datos Personales tendrá los siguientes derechos: ● Conocer, actualizar y rectificar sus Datos Personales frente a los Responsables del Tratamiento o Encargados del Tratamiento.

 POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. ●

Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012. ● Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales. ● Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen. ● Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La Supresión o eliminación procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento LA COMPAÑÍA o el Encargado han incurrido en conductas contrarias a la ley y la Constitución. ● Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento. De conformidad con el art. 20 del Decreto 1377 de 2013, el ejercicio de los Derechos antes mencionados, podrán ser ejercidos por: ● Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el Responsable. ● Por sus causahabientes, quienes deberán acreditar tal calidad. ● Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento. ● Por estipulación a favor de otro o para otro. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

8. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR. A. Procedimiento para conocer, actualizar, rectificar y suprimir información: En aras de proteger y garantizar la confidencialidad de los Datos Personales de los Titulares, LA COMPAÑÍA determina que el procedimiento para que el Titular conozca, actualice, rectifique y suprima su información puede ser activado y ejercido a través de los siguientes medios: ● De forma personal en las áreas de servicio al cliente de sus establecimientos comerciales, sucursales y/o dependencias, mediante el diligenciamiento del formato que se tenga establecido para ello. ● A través del correo electrónico atencionalcliente@ameticancrowngroup.com, o a través de la línea de atención al cliente 3102769596. Los derechos de consulta, rectificación, actualización o supresión únicamente se podrán ejercer por: 1. El Titular o sus causahabientes y previa acreditación de su identidad. 2. Su representante, previa acreditación de la representación. La solicitud de rectificación, actualización o supresión debe ser presentada a través de los canales destinados por LA COMPAÑÍA para la atención de dichos requerimientos arriba informados, y debe contener como mínimo la siguiente información: 1. El nombre y domicilio del Titular o cualquier otro medio para recibir la respuesta. 2. Copia de los documentos que acrediten la identidad del Titular, causahabiente y/o su representante. 3. La descripción clara y precisa de los Datos Personales respecto de los cuales el Titular busca ejercer alguno de los derechos de consulta, rectificación, actualización o supresión. B. Procedimiento para las consultas o reclamos: Los Titulares de los Datos Personales pueden revocar el consentimiento al Tratamiento de sus Datos Personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello deberán seguir el mismo Versión 02 Página 7 de

10 POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. procedimiento estipulado en el numeral anterior, y especificar en su comunicado la pretensión de que sea revocada la autorización de Tratamiento de sus Datos Personales. La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir del día en que sea recibo la misma, en horario hábil. En caso de no ser posible atender la consulta en dicho término, se le informará al Titular, expresando los motivos de la demora y en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del término. En caso de que el Titular de la información considere que su información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de los deberes que establece la ley, se podrá presentar un reclamo (según el procedimiento antes descrito). El reclamo se formulará mediante solicitud dirigida al Responsable o Encargado del Tratamiento; el Titular deberá informar su identificación, descripción de los hechos que dan lugar al reclamo, la dirección de notificación (física o correo electrónico) y adjuntar los documentos que soporten el reclamo, cuando aplique. Si el reclamo resulta incompleto, LA COMPAÑÍA requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que se subsane las fallas. Si han transcurrido dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ochos (08) días hábiles siguientes al vencimiento del término. 9. INFORMACIÓN Y MECANISMOS DE CONTACTO PUESTOS A DISPOSICIÓN COMO RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES: ● Razón social: AMERICAN CROWN GROUP S.A.S. ● Número de Identificación Tributaria (NIT): 901.413.105-6 ● Matrícula No.: 3286896 ● Domicilio: CALLE 24 A No. 75-40 BRR MODELIA, Bogotá D.C. ● Teléfono(s): +57 3212143342, 3108169244 ● E-mail: atencionalcliente@americancrowngroup.com, administrativo@americancrowngroup.com ● Página web: https://americancrowngroup.com 10. ÁREA RESPONSABLE DEL TRATAMIENTO DE LA BASE DE DATOS PERSONALES: LA COMPAÑÍA cuenta con un departamento interno de Atención al Cliente encargado de la protección de datos, quienes son Responsables y Encargados de recibir las consultas, peticiones, quejas o reclamos de los Titulares de los Datos Personales, a través de los canales indicados en el numeral anterior a efectos de garantizar una respuesta clara, eficiente, comprensible y oportuna al Titular del Dato, la atención a cada PQRS y su respuesta o solución podrá ser generada por la firma de servicios jurídicos ORTIZ ABOGADOS & CÍA. S.A.S. y/o sus abogados internos o externos con poder especial o general otorgado por el representante legal de LA COMPAÑÍA. 11. TRANSFERENCIA Y TRANSMISIONES DE LA BASE DE DATOS PERSONALES: LA COMPAÑÍA podrá en desarrollo de las finalidades de esta Política, compartir los Datos Personales con terceros Encargados del Tratamiento domiciliados en Colombia o en el exterior para lo cual se contará con la respectiva autorización de los Titulares y se suscribirá con los Encargados un contrato de transmisión que garantice la protección de los Datos Personales que se llegaren a entregar, y que en todo caso I) señalará los alcances del Tratamiento, II) las actividades que el Encargado realizará por cuenta del Responsable para el Tratamiento y, III) las obligaciones del Encargado para con el Titular y el Responsable. De igual manera podrán transferir los Datos Personales de los Titulares entre sí, y a las demás compañías o entidades que pertenezcan o llegaren a pertenecer a LA COMPAÑÍA o tengan relación comercial directa, domiciliados en Colombia y/o en el exterior, en estricto cumplimiento a lo dispuesto por la normatividad aplicable, la presente Política y demás normas que regulan la materia, Versión 02 Página 8 de 10 POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. 12. DEBERES DEL RESPONSABLE Y DEL ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES: De conformidad con el art. 17 de la Ley 1581 de 2012, el Responsable del Tratamiento tendrá los siguientes deberes: ● Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. ● Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular. ● Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. ● Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. ● Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. ● Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada. ● Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento. ● Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley. ● Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. ● Tramitar las consultas y reclamos formulados en los términos señalados en la ley. ● Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos. ● Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. ● Informar a solicitud del Titular, sobre el uso dado a sus datos. ● Informar a la autoridad de protección de datos, cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. ● Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. Eventualmente, LA COMPAÑÍA podrá, de acuerdo con lo establecido en el artículo 18 de la Ley 1581 de 2012, tener la calidad de Encargado del Tratamiento y en consecuencia tendrán los siguientes deberes: ● Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. ● Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. ● Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley. ● Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. ● Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley. ● Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. Versión 02 Página 9 de 10 POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. ● Registrar en la base de datos las leyendas «reclamo en trámite» en la forma en que se regula en la presente ley. ● Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. ● Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. ● Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. ● Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. ● Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 13. CONTROL DE ACCESO Y VIDEOVIGILANCIA: A. Control de acceso: Las áreas donde se ejecutan procesos relacionados con información confidencial o restringida deben contar con controles de acceso que sólo permitan el ingreso a los colaboradores autorizados y que permita guardar la trazabilidad de los ingresos y salidas. B. Videovigilancia: LA COMPAÑÍA cuenta con cámaras de videovigilancia que podrán contener grabación de voz, con la finalidad de dar cumplimiento a las políticas de seguridad física, de acuerdo con la Guía para la protección de Datos Personales en sistemas de videovigilancia de la Superintendencia de Industria y Comercio. Las imágenes serán conservadas por un tiempo limitado, o hasta que se resuelva una queja, reclamación, o cualquier proceso disciplinario o judicial, en caso de que sea objeto o soporte de una de las anteriores. 14. OTRAS DISPOSICIONES: En los términos del artículo 6 de la ley 1581 de 2012 y demás normas que traten sobre la materia, está prohibido el Tratamiento de datos sensibles, excepto cuando se cumpla con los siguientes requisitos: (i) que, por tratarse de este tipo de datos, no estén obligados a autorizar su Tratamiento, ii) que exista autorización explícita del Titular y (iii) que se informe de forma explícita y previa cuáles datos sensibles y la finalidad del Tratamiento de acuerdo con las finalidades descritas en el numeral sexto del presente documento. De igual forma, se podrá hacer Tratamiento de estos datos cuando: 1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; 2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; 3. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. 4. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de la identidad del Titular. Para efectos del Tratamiento de Datos Personales de niños, niñas y adolescentes, LA COMPAÑÍA responderá y respetará el interés superior de éstos y asegurará el respeto de sus derechos fundamentales. Adicionalmente, solicitará autorización del representante del niño, niña o adolescente previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, a efectos de efectuar el Tratamiento de sus Datos Personales para fines comerciales, de mercadeo y ventas. 15. VIGENCIA DE LA POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES: La presente Política de Tratamiento de Datos Personales de LA COMPAÑÍA y demás compañías o entidades que pertenezcan o llegaren a pertenecer al mismo grupo empresarial de turismo, domiciliadas en Colombia y/o en el exterior, rige a partir de su publicación, realizada el día 07 de marzo de 2023. Versión 02 Página 10 de 10 POLÍTICA DE MANEJO, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE AMERICAN CROWN GROUP S.A.S. Esta Política puede ser modificada por LA COMPAÑÍA en cualquier tiempo, con la finalidad de adaptarla a novedades legislativas o jurisprudenciales, así como a mejores prácticas que se desarrollen sobre el tema, caso en el cual se informará oportunamente a los Titulares. Cualquier modificación o actualización de la presente Política, será informada a través de la página web https://americancrowngroup.com, donde se pondrá a disposición de los Titulares, la última versión de la Política, con indicación de la fecha de entrada en vigor de la correspondiente modificación o actualización, según sea el caso. El uso o adquisición continua de los productos o servicios que ofrece LA COMPAÑÍA por parte del Titular o su no desvinculación de los mismos, después de la puesta a disposición de la nueva Política, constituye la aceptación de la misma. Los Datos Personales o bases datos sujetas a Tratamiento, estará