POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN POR PARTE DE DANNICELCOMUNICACIONES S.A.S ZOMAC

NORMATIVA VIGENTE: LEY 1266 DE 2008, LEY 1581 DE 2012, LEY 2157 DE 2021 y LEY 2300 de 2023 – DECRETO 1074 DE 2015 – CIRCULAR ÚNICA DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO FECHA DE IMPLEMENTACIÓN: OCTUBRE 1 DE 2023

Página 2 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. CONTENIDO Página 1. Introducción 3 2. Responsables del tratamiento de datos 2.1 Información de Dannicel 3 3. Fundamento legal 3 4. Objeto y ámbito de aplicación 4.1 Objeto 3 4.2 Ámbito de aplicación 3 5. Definiciones 4 6. Condiciones para el tratamiento de datos personales 6.1. Programa de protección de datos personales 5 6.2 Principios del tratamiento de datos personales 5 6.3 Equipo de protección de datos personales 6.3.1 Integración del equipo 5 6.3.2 Funciones del equipo 5 6.3.3 Evaluación de riesgos 5 6.3.4 Evaluación de impago en la protección de datos 6 6.3.5. Conservación de la información personal 6 6.3.6 Monitoreo continuo 6 6.3.7 Privacidad de las comunicaciones 6 6.3.8 Niños, niñas y adolescentes 6 6.3.9 Requerimientos de autoridades competentes 6 7. Autorización 7.1 Recolección de los datos personales 7 7.2 Autorización requerida del titular 7 7.3 Casos sin necesidad de autorización 7 7.4 Suministro de información al titular 7 7.5 Deber de informar al titular 7 7.6 Revocatoria de autorización y supresión de datos 8 7.7 Personas con acceso a la Información 8 8. Transmisión de datos personales 8.1 Transmisión de datos de clientes 8 8.2 Transmisión de datos de empleados 8 9. Datos sensibles 9.1 Definición de datos sensibles 9 9.2 Tratamiento de datos sensibles 9.2.1 Se prohíbe el tratamiento de datos, excepto 9 9.2.2 Obligaciones al tratar los datos sensibles 9 10. Derechos de los titulares 9 11. Procedimiento 11.1 Consultas 10 11.2 Reclamos 10 11.3 Requisitos de procedibilidad 10 11.4 Casos de suplantación 10 11.5 Silencio 11 12. Deberes de Dannicel 11 13. Deberes del encargado 11 14. Medidas de seguridad 12 15. Políticas de seguridad de la información 12 16. Prevención 12 17. Supervisión y verificación de cumplimiento de política 12 18. Capacitación y difusión 13 19. Sanciones 13 20. Modificaciones 13 21. Cooperación, coordinación y complementariedad 13 Página 3 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 1. INTRODUCCIÓN Este documento establece las políticas y procedimientos adoptados por Dannicel Comunicaciones S.A.S Zomac (en adelante, "Dannicel") para garantizar la seguridad, confidencialidad y manejo adecuado de los datos personales de sus usuarios, colaboradores, proveedores y aliados, en cumplimiento de la normativa colombiana sobre protección de datos personales. 2. RESPONSABLES DEL TRATAMIENTO DE DATOS 2.1. Información de Dannicel Se proporciona la información de contacto de DANNICEL COMUNICACIONES S.A.S. ZOMAC, en adelante DANNICEL, cuyo domicilio está localizado en el Municipio de Puerto Asís – Putumayo en la Calle 11 No. 20-35, correo electrónico: servicioalcliente@dannicelcomunicaciones.com, teléfono 6084220102 y página web: www.dannicelcomunicaciones.com 3. FUNDAMENTO LEGAL Se enumeran los artículos constitucionales y las leyes que regulan la protección de datos personales en Colombia, como el artículo 15 y 20 de la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012, la Ley 2157 de 2021, la Ley 2300 de 2023, el Decreto 1074 de 2015 y la Circular Única de la Superintendencia de Industria y Comercio. 4. OBJETO Y ÁMBITO DE APLICACIÓN 4.1. Objeto El objeto de esta política es dar a conocer los procedimientos del Programa de Protección de Datos Personales implementado por Dannicel, para garantizar el cumplimiento de la normativa aplicable y establecer los principios y lineamientos para el uso adecuado de la información personal. 4.2. Ámbito de aplicación Estas políticas son de carácter obligatorio para Dannicel como responsable del tratamiento de datos personales, sus colaboradores, y los encargados que realicen el tratamiento de datos personales por cuenta de Dannicel. Página 4 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 5. DEFINICIONES Se definen los conceptos clave relacionados con el tratamiento de datos personales, siendo los más relevantes. • Autorización: Consentimiento previo expresado por el titular para el tratamiento de sus datos personales. • Base de datos: Conjunto de datos personales organizado en el sistema • Consultas: Solicitud de información personal del titular que repose en cualquier base de datos de Dannicel. • Contratistas y/o colaboradores: Personas naturales que tienen algún vínculo comercial con Dannicel. • Comunicación previa al titular: Se regirá por lo establecido en la Ley 1266 de 2008 y demás normas que la reglamenten, de igual forma, podrá realizarse conforme lo dispuesto en la Ley 527 de 1999. • Dato personal: Información de personas vinculadas que se encuentren en las bases de datos de Dannicel. • Datos sensibles: Aquellos que afectan la intimidad del Titular, los datos relativos a la salud, a la vida sexual y los datos biométricos. • Dato público: Son entre otros, los relativos al estado civil de las personas, a su profesión u oficio y a su calidad de servidor público o comerciante, además, son aquellos que no tienen el carácter de dato semiprivado o privado. • Dato semiprivado: Es aquel dato que no corresponde a íntimo, reservado, ni público, el cual puede interesar no sólo al titular sino a terceros interesados. • Dato privado: Es aquel que por su naturaleza sólo es relevante para el titular. • Encargado del tratamiento: Persona que tiene la función de realizar el tratamiento de los datos personales. • Reclamo: Solicitud realizada por el titular de actualización, supresión o corrección por presunto incumplimiento de cualquiera de la normatividad legal que los regula, entre ellos, Ley 1266 de 2008 y Ley 1581 de 2012. • Responsable del tratamiento: Persona natural o jurídica que en conjunto con Dannicel deciden sobre la base de datos y su tratamiento. • Riesgo: Es la probabilidad que pueda suceder un evento negativo y su impacto represente amenaza y vulnerabilidad de la empresa. • Titular: Persona natural de quien sean objeto de tratamiento los datos • Tratamiento: Es la recolección, almacenamiento, uso, circulación o supresión de los datos personales por parte de Dannicel. Página 5 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 6. CONDICIONES PARA EL TRATAMIENTO DE DATOS PERSONALES 6.1. Programa de Protección de Datos Personales Dannicel ha adoptado un Programa de Protección de Datos Personales que establece las acciones para cumplir con las obligaciones legales y proteger los datos personales en todas las etapas del tratamiento. 6.2. Principios del Tratamiento de Datos Personales Se enumeran los principios sobre los cuales se construye el Programa de Protección de Datos Personales, como la legalidad, transparencia, finalidad, libertad, veracidad o calidad, acceso y circulación restringida, seguridad, confidencialidad, temporalidad de la información, protección de datos por diseño y por defecto. 6.3. Equipo de Protección de Datos Personales 6.3.1. Integración del equipo Se especifica la conformación del equipo de protección de datos personales, Gerencia Operativa y Financiera, Gerencia de Gestión de PQR's, y Gerencia de Contratos Transparencia y Ética Empresarial. 6.3.2. Funciones del equipo Se detallan las funciones del equipo de protección de datos personales, como definir políticas, coordinar acciones, identificar amenazas y evaluar riesgos, diseñar estrategias de prevención, realizar auditorías, coordinar capacitaciones, dar trámite a solicitudes de titulares, vigilar el cumplimiento de la normativa, revisar contratos con terceros, atender requerimientos de autoridades, asesorar a las unidades de negocio y analizar el flujo de la información personal. 6.3.3. Evaluación de riesgos Se explica que el análisis de riesgos es una herramienta para valorar objetivamente los riesgos y las medidas para mitigarlos, considerando los requerimientos legales, mejores prácticas y estándares internacionales aplicables. El equipo de protección de datos personales identifica cómo se procesan los datos personales, las amenazas y evalúa los riesgos para diseñar estrategias de prevención. Página 6 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 6.3.4. Evaluación de impacto en la protección de datos Se establece que, cuando un tipo de tratamiento pueda entrañar un alto riesgo para los derechos y libertades de los titulares, se deberá realizar una evaluación del impacto en la protección de datos personales, de acuerdo con las directrices y mejores prácticas aplicables. 6.3.5. Conservación de la información personal Dannicel conservará únicamente los datos personales necesarios conforme a las finalidades informadas a los titulares y la autorización correspondiente, con el propósito de brindar los servicios solicitados y dar cumplimiento a las obligaciones contractuales y legales. 6.3.6. Monitoreo continuo Dannicel realiza un monitoreo continuo para controlar, administrar e informar sobre el riesgo asociado con las prácticas de gestión de datos personales. El equipo de protección de datos personales supervisa y hace cumplir la política, realiza auditorías y determina el grado de cumplimiento de las políticas, prácticas y normativa vigente. 6.3.7. Privacidad de las comunicaciones Se establecen las directrices en materia de privacidad de las comunicaciones de los clientes, señalando que nadie puede escuchar, monitorear o revelar el contenido de las comunicaciones, salvo por orden escrita de autoridades competentes. Asimismo, se pueden realizar acciones requeridas por la normatividad aplicable, como entrega de información, geolocalización, bloqueo o registro de comunicaciones, previa orden fundada y motivada de una autoridad competente. 6.3.8. Niños, niñas y adolescentes En Dannicel está prohibido el tratamiento de datos personales de niños, niñas y adolescentes, saldo aquellos que tengan el carácter de públicos. Únicamente se trataran datos de niños, niñas y adolescentes con el consentimiento de sus padres, tutor y/o personas que detente la patria potestad según la legislación vigente. 6.3.9. Requerimientos de autoridades competentes Dannicel está obligado a conservar, registrar y entregar información sobre sus clientes a las autoridades judiciales competentes, previa solicitud mediante Página 7 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. mandamiento o requerimiento escrito, fundado y motivado, o sentencia judicial, en los términos establecidos por la ley. 7. AUTORIZACIÓN 7.1. Recolección de los Datos Personales La recolección de datos personales realizada por DANNICEL se limitará a aquellos datos pertinentes y adecuados para la finalidad para la cual son recolectados, salvo en los casos expresamente previstos en la ley. 7.2. Autorización Requerida del Titular DANNICEL requerirá la autorización previa e informada del Titular para realizar cualquier tratamiento de datos personales, ya sea por medios escritos, orales o mediante mecanismos automatizados que faciliten la manifestación del Titular. 7.3. Casos sin Necesidad de Autorización No se requerirá autorización del Titular en los siguientes casos: - Información requerida por autoridad pública o judicial - Datos de naturaleza pública - Casos de urgencia médica o sanitaria - Tratamiento con fines históricos, estadísticos o científicos - Datos del registro civil 7.4. Suministro de Información al Titular La información solicitada por el Titular será suministrada por el mismo medio de la consulta, de fácil lectura y correspondiente a los datos en las bases de datos. 7.5. Deber de Informar al Titular Al solicitar la autorización, DANNICEL informará al Titular de manera clara y expresa sobre: - El tratamiento y finalidad de los datos - Carácter facultativo de preguntas sobre datos sensibles - Derechos que le asisten como Titular - Identificación y datos de contacto del responsable Página 8 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 7.6. Revocatoria de Autorización y Supresión de Datos Los Titulares podrán revocar su autorización y solicitar la supresión de sus datos personales mediante un reclamo, a menos que tengan un deber legal o contractual de permanecer en la base de datos. 7.7. Personas con Acceso a la Información La información personal sólo podrá ser suministrada: - A los Titulares, causahabientes o representantes legales - A entidades públicas en ejercicio de funciones legales o por orden judicial - A terceros autorizados por el Titular o la ley 8. Transmisión de Datos Personales DANNICEL regulará toda transmisión de datos personales mediante un instrumento jurídico idóneo, identificando las obligaciones y responsabilidades de las partes en protección de datos. 8.1. Transmisión de Datos de Clientes Se transmitirán datos de clientes en los siguientes casos: - A autoridades competentes cuando la ley lo exija - A proveedores y aliados que intervienen en la venta de productos y servicios - A operadores de bancos de datos de crédito y financieros 8.2. Transmisión de Datos de Empleados Se transmitirán datos de empleados en los siguientes casos: - A autoridades competentes en casos legalmente previstos - A instituciones bancarias, aseguradoras, fondos de pensiones y terceros relacionados con prestaciones laborales - A reclutadoras y empresas para dar referencias laborales (con consentimiento) Página 9 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 9. Datos Sensibles 9.1. Definición de Datos Sensibles Son datos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, como origen racial, orientación política, religión, pertenencia a organizaciones, datos de salud, vida sexual y datos biométricos. 9.2. Tratamiento de Datos Sensibles 9.2.1. Se prohíbe el tratamiento de datos sensibles, excepto cuando: - El Titular haya dado su autorización explícita - Sea necesario para salvaguardar el interés vital del Titular - Se efectúe por organizaciones sin ánimo de lucro para sus miembros - Se refiera a un proceso judicial - Tenga una finalidad histórica, estadística o científica 9.2.2. Obligaciones al tratar datos sensibles: - Informar al Titular que no está obligado a autorizar su tratamiento - Obtener el consentimiento expreso del Titular sobre los datos sensibles y la finalidad DANNICEL solicitará la autorización para el tratamiento de datos biométricos como huellas dactilares, voz e imagen facial con fines de autenticación, prevención de fraude y actividades ilegales. 10. Derechos de los Titulares El Titular de los datos personales tendrá los siguientes derechos: 10.1. Conocer, actualizar y rectificar sus datos personales. 10.2. Solicitar prueba de la autorización otorgada. 10.3. Ser informado sobre el uso dado a sus datos personales. 10.4. Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones. 10.5. Revocar la autorización y solicitar la supresión de datos. 10.6. Acceder de forma gratuita a sus datos personales tratados. Página 10 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 11. Procedimientos El titular o sus herederos tienen derecho a presentar ante DANNICEL, reclamos, consultas previa validación de su identificad, a través de cualquiera de los mecanismos de los que dispone Dannicel para atención al usuario: • Centro de Atención y Ventas • Línea de Atención Cel. 350.423.0260 • Página web: www.dannicelcomunicaciones.com • Email: atencionalcliente@dannicelcomunicaciones.com Dannicel dará respuesta a través del mismo medio utilizado para en la radicación dentro de los tiempos establecidos para tal fin. 11.1. Consultas - Los Titulares podrán consultar su información personal en las bases de datos. - La consulta será gratuita al menos una vez por mes calendario. - DANNICEL responderá en 10 días hábiles, prorrogables 5 días más. 11.2. Reclamos El titular o sus herederos podrán hacer solicitudes si consideran que sus datos son sujetos de corrección, actualización o supresión o cuando evidencian incumplimiento de cualquiera de los deberes que consagra la ley, el cual será tratado por Dannicel con las siguientes reglas: - El Titular podrá presentar un reclamo para corregir, actualizar o suprimir información. - El reclamo debe contener información básica del Titular y los hechos. - Se incluirá una leyenda "reclamo en trámite" mientras se resuelve. - DANNICEL responderá en 15 días hábiles, prorrogables 8 días más. 11.3. Requisito de Procedibilidad El Titular sólo podrá elevar queja ante la Superintendencia una vez agotado el trámite de consulta o reclamo. 11.4. Casos de Suplantación Si el Titular es víctima de suplantación, presentará petición de corrección con soportes. DANNICEL verificará y realizará los ajustes necesarios. Página 11 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 11.5. Silencio De no resolverse en los plazos, se entenderá que la solicitud ha sido aceptada. 12. Deberes de DANNICEL DANNICEL cumplirá los siguientes deberes en el tratamiento de datos: 12.1. Garantizar el ejercicio del hábeas data. 12.2. Solicitar y conservar la autorización del Titular. 12.3. Informar la finalidad de la recolección y los derechos del Titular. 12.4. Tomar medidas de seguridad para impedir acceso no autorizado. 12.5. Suministrar al Encargado datos veraces, completos y actualizados. 12.6. Actualizar la información del Encargado. 12.7. Rectificar datos incorrectos del Encargado. 12.8. Suministrar al Encargado sólo datos autorizados. 12.9. Exigir al Encargado cumplir condiciones de seguridad y privacidad. 12.10. Tramitar consultas y reclamos. 12.11. Adoptar un manual de políticas y procedimientos internos. 12.12. Informar al Encargado sobre datos en discusión. 12.13. Informar sobre el uso dado a los datos del Titular. 12.14. Informar a la autoridad sobre violaciones de seguridad. 12.15. Cumplir instrucciones de la Superintendencia de Industria y Comercio. 13. Deberes del Encargado El Encargado del Tratamiento de Datos deberá: 13.1. Garantizar el pleno ejercicio del derecho de hábeas data al Titular. 13.2. Conservar la información de forma segura. 13.3. Realizar actualizaciones, rectificaciones o supresiones oportunamente. 13.4. Actualizar la información reportada por el responsable en 5 días hábiles. 13.5. Tramitar consultas y reclamos de los Titulares. 13.6. Adoptar manuales internos para garantizar el cumplimiento normativo. 13.7. Registrar la leyenda "reclamo en trámite" en la base de datos. 13.8. Insertar la leyenda "información en discusión judicial" cuando aplique. 13.9. Abstenerse de circular información controvertida por el Titular bloqueada por la Superintendencia. 13.10. Permitir acceso a la información solo a personal autorizado. 13.11. Informar violaciones a códigos de seguridad a la Superintendencia. 13.12. Cumplir instrucciones y requerimientos de la Superintendencia. Página 12 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. 13.13. Salvaguardar la seguridad de las bases de datos. 13.14. Guardar confidencialidad sobre el tratamiento de datos. 14. Medidas de Seguridad DANNICEL toma precauciones y medidas técnicas, administrativas y organizacionales razonables para garantizar la seguridad de los datos personales y evitar su alteración, pérdida, tratamiento o acceso no autorizado. 15. Políticas de Seguridad de la Información Los lineamientos de seguridad se respaldan por la Política de Seguridad de la Información de DANNICEL, construida bajo mejores prácticas, estándares de seguridad y normatividad vigente. Es de cumplimiento obligatorio para colaboradores directos e indirectos. 16. Prevención 16.1. Compromisos para prevenir incumplimientos: 16.1.1. Cumplir esta Política, la de Seguridad de la Información y la normativa aplicable. 16.1.2. Garantizar los principios y disposiciones para un tratamiento legítimo y transparente. 16.1.3. Contar con el consentimiento del Titular cuando sea necesario. 16.1.4. Acceder solo a la información necesaria para las funciones laborales. 16.1.5. Recoger, almacenar y eliminar datos conforme a procedimientos. 16.1.6. Conocer y aplicar medidas de seguridad para proteger los datos. 16.1.7. Garantizar el ejercicio de derechos de los Titulares. 16.1.8. Cumplir el deber de confidencialidad. 16.1.9. Notificar amenazas que puedan comprometer la seguridad. 16.1.10. Demostrar cumplimiento de obligaciones aplicables. 16.1.11. Denunciar actos que violen esta Política o la normativa. 16.1.12. Promover prácticas de protección de datos en la cadena de valor. 16.1.13. Asegurar que nadie monitoree comunicaciones, salvo orden judicial. 16.2. De igual forma, está prohibido: Transmitir datos a encargados que no garanticen estándares adecuados. Utilizar datos personales para fines ajenos a las funciones laborales. Acceder a información personal sin necesidad. 17. Supervisión y verificación de cumplimiento de la política En esta sección, se establece que el Oficial de Datos Personales, la Gerencia de Cumplimiento y Auditoría Interna son las áreas responsables de supervisar, vigilar y auditar el debido cumplimiento de las disposiciones señaladas en la Política de Tratamiento de la Información. Además, se menciona que el Oficial de Datos Página 13 de 13 Política elaborada por Abogada Gladys Palacios Romero TP 122730 del C.S de la J. Personales y el Equipo de Protección de Datos Personales son responsables de evaluar periódicamente el Programa de Protección de Datos Personales, el cual incluye medidas para prevenir incumplimientos a la normativa en materia de protección de datos personales. 18. Capacitación y difusión Este apartado indica que DANNICEL ofrece cursos a sus colaboradores y aliados con el fin de capacitarlos en los conceptos, alcances y situaciones relacionadas con la protección de datos personales. Asimismo, se menciona que, como parte del Programa de Protección de Datos Personales, se capacita a todos los colaboradores de DANNICEL mediante una adecuada difusión de las obligaciones relativas a la protección de datos personales. 19. Sanciones En esta sección, se establece que las sanciones por incumplimiento de la Política de Tratamiento de la Información, tanto para los colaboradores como para los proveedores y aliados, podrán ser de tipo administrativo, laboral o incluso penal, dependiendo de la gravedad del acto, y se sancionarán de conformidad con el reglamento interior de trabajo, el contrato suscrito y/o la legislación aplicable, según corresponda. 20. Modificaciones Este apartado indica que DANNICEL se reserva el derecho de modificar la Política de Tratamiento de la Información, en su totalidad o parcialmente. En caso de cambios sustanciales referidos a la identificación de DANNICEL y a la finalidad del tratamiento de los datos personales, que puedan afectar el contenido de la autorización, DANNICEL comunicará estos cambios al titular a más tardar al momento de implementar las nuevas políticas. 21. Cooperación, coordinación y complementariedad En esta sección, se establece que la Política de Tratamiento de la Información se encuentra homologada y armonizada con la Política de Privacidad y Protección de Datos Personales de DANNICEL quien es la responsable de cumplir con las obligaciones legales aplicables ante las autoridades colombianas. Además, se indica que la presente Política es el procedimiento interno de cumplimiento normativo considerando las obligaciones específicas en temas de protección de datos personales.