SERVYFARMA S.A.S NIT. 900.104.046-0

MANUAL INTERNO POLITICAS, PROCEDIMIENTOS Y DIRECTRICES PARA LA

PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

SERVYFARMA S.A.S.

LEY 1581 DE 2012 DECRETO 1377 DE 2013

VERSION 1.0 SEPTIEMBRE DE 2016

CAPITULO 1 DISPOSICIONES GENERALES

ARTICULO 1. OBJETIVO El presente manual tiene por objeto aplicar y cumplir la Ley 1581 de 2012 y demás normas que lo reglamenten, sustituyan o complementen, brindando a las personas la seguridad en los datos recopilados por la empresa, para que cada uno de los datos de las personas puedan conocer, actualizar y rectificar la información captada o recogida por la compañía, y los datos suministrados por estos serán utilizados y protegidos de la mejor forma posible, evitando vulnerar algún derecho del titular de la información. ARTICULO 2. ALCANCE Estas políticas aplican para todos los empleados, clientes, acreedores y asesores externos, personal temporal e invitados y quienes hagan uso de los recursos y servicios provistos por SERVYFARMA S.A.S. ARTICULO 3. ÁMBITO DE APLICACIÓN Los principios y disposiciones que están reglamentados en la ley 1581 de 2012 serán aplicables a todos los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. Se aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al responsable del tratamiento o encargado del tratamiento establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. El régimen de protección de datos personales que se establece en la Ley 1581 de 2012, no será aplicable: a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico. Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar la titular y solicitar su autorización. En este caso los responsables y encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley. b) A las bases de datos y archivos que tenga por finalidad la seguridad y defensa nacional,

así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo. c) A las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia. d) A las bases de datos y archivos de información periodística y otros contenidos editoriales. e) A las bases de datos y archivos regulados por la Ley 1266 de 2008. f) A las bases de datos y archivos regulados por la Ley 79 de 1993. ARTICULO 4. DEFINICIONES Y CONCEPTOS De acuerdo al Artículo 3 de la Ley 1581 del 2012 y Decreto 1377 de 2013: AUTORIZACIÓN: Consentimiento previo, expreso e informado al titular para llevar a cabo el tratamiento de datos personales. BASE DE DATOS: Conjunto organizado de datos personales que sean objeto de tratamiento. DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento. RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de datos. TITULAR: Persona natural cuyos datos personales son objeto de tratamiento. TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el responsable dirigido al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de sus datos personales, la forma de acceder a las mismas, y las finalidades del tratamiento que se pretenden dar a los datos personales. DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión

u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. DATOS SENSIBLES: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los de tatos relativos a la salud, a la vida sexual y los datos biométricos (son aquellos rasgos físicos, biológicos o de comportamiento de un individuo que lo identifican como único del resto de la población). TRANSFERENCIA: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país. TRANSMISIÓN: Tratamiento de datos personales que implican la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable. ARTICULO 5. PRINCIPIOS RECTORES De acuerdo al Artículo 4 de la Ley 1581 de 2012: PRINCIPIO DE LEGALIDAD: Los datos y el tratamiento que se le haga a los mismos deben estar bajo las disposiciones legales y reglamentadas por las mismas. PRINCIPIO FINALIDAD: El manejo de los datos debe tener una finalidad específica, acorde con principios legales y siguiendo las políticas del tratamiento de datos, las cuales deberán ser informadas al titular. PRINCIPIO DE LIBERTAD: Solo se podrán ejercer actuaciones con permiso expreso y previo del titular, habiéndole informado las mismas políticas y realizaciones que se fueran a ejecutar con los datos en mención. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización de mandato legal o judicial que releve el consentimiento. PRINCIPIO DE VERACIDAD: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA: Solo podrán tener acceso a los datos personas encargadas del tratamiento de los mismos o autorizadas por el titular.

Los datos personales que no sean públicos no podrán ser publicados en internet ni en otros medios de divulgación a menos de que esto se haga para uso del encargado del tratamiento de los mismos o con autorización del titular. PRINCIPIO DE SEGURIDAD: El tratamiento que se le haga a los datos, debe hacerse de la forma técnica, humana, y bajo las medidas correctas para brindarle seguridad al autor o al encargado de los tratamientos de estos datos. PRINCIPIO DE CONFIDENCIALIDAD: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligados a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprenden el tratamiento, solo podrá realizar la comunicación de dichos datos personales en el desarrollo de las actividades autorizadas por la ley.

CAPITULO II DERECHOS Y DEBERES

ARTICULO 6. DERECHOS DE LOS TITULARES De acuerdo al Artículo 8 de la Ley 1581 de 2012 El titular de los datos personales tendrá los siguientes derechos: a) Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado. b) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, conformidad con lo previsto en la ley. c) Ser informado por el responsable del tratamiento o encargado del tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales. d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen. e) Revocar la autorización y/o solicitar la supresión de datos cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencias de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la constitución. f) Acceder en forma gratuita a sus datos personales que haya sido objeto de tratamiento. g) El titular deberá autorizar previa e informadamente al responsable del tratamiento o

encargado del tratamiento, que esté podrá obtenerla por cualquier medio que pueda ser objeto de consulta posterior. El encargado del tratamiento o responsable del tratamiento no le será necesario solicitar al titular de la información autorización en los siguientes casos: a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. b) Datos de naturaleza pública. c) Casos de urgencia médica o sanitaria. d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. e) Datos relacionados con el Registro Civil de las Personas. h) Titular tiene el derecho de ser informado por parte el responsable del tratamiento claramente y expresa lo siguiente: i) El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo. j) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes. k) Los derechos que le asisten como titular. l) La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento. ARTICULO 7. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO De acuerdo al Artículo 17 y 18 de la Ley 1581 de 2012 Los responsables del tratamiento deberán cumplir con los siguientes deberes, sin perjuicio de cumplir las demás disposiciones de la Ley 1581 de 2012 y otras que lo rijan por su actividad:

1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho hábeas data.

2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada.

3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado fraudulento.

5. Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

6. Actualizar información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades respecto a los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

8. Suministrar al Encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

9. Exigir al Encargado del tratamiento todo momento, el respeto a las condiciones de

seguridad y privacidad del titular. 10. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado

cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.

11. Informar al Encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez haya presentado la reclamación y no haya finalizado el trámite respectivo.

12. Informar a solicitud del titular sobre el uso dado a sus datos. 13. Informar a la autoridad de protección de datos cuando se presenten violaciones a los

códigos de seguridad y existan riesgos en la administración de la información de los titulares.

14. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

15. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

16. Tramitar las consultas y reclamos formulados por los titulares en los terminados señalados en la presente ley.

17. Registrar en la base de datos la leyenda “reclamos en trámite” en la forma en que se regula en la presente ley.

18. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

19. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio (SIC).

20. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

21. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existen riesgos en la administración de la información de titulares.

DATOS DEL RESPONSABLE DEL TRATAMIENTO DE DATOS SERVYFARMA S.A.S. Sede Principal CR 7 B BIS 70 143 BRR ALFONSO LOPEZ Ciudad: Cali Teléfono: 6626252 Correo: servyfarma@yahoo.es ARTICULO 8. LIMITACIONES TEMPORALES AL TRATAMIENTO DE LOS DATOS PERSONALES Los responsables y encargados del tratamiento sólo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo las disposiciones de la Ley 1581 de 2012, a la materia a que se trate y a los aspectos administrativos, contables,

fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el responsable y el encargado deberán proceder a supresión de los datos personales de su posesión. Los datos podrán ser conservados así se requiera para el cumplimiento de una obligación legal o contractual. ARTICULO 9. DEBERES DE SERVYFARMA S.A.S CUANDO ACTUE COMO ENCARGADO DEL TRATAMIENTO. Cuando SERVYFARMA S.A.S actúe como Encargado del Tratamiento, velará por el cumplimiento de:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3. Realizar oportunamente la actualización, rectificación o supresión de los datos. 4. Actualizar la información reportada por los responsables del Tratamiento dentro de los

cinco (5) días hábiles contados a partir de su recibo. 5. Tramitar las consultas y los reclamos formulados por los Titulares. 6. Contar con un manual interno de políticas y procedimientos para garantizar el

adecuado cumplimiento la Ley de Protección de Datos y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

7. Registrar en la base de datos la leyenda "reclamo en trámite", cuando ello corresponda.

8. Insertar en la base de datos la leyenda "información en discusión judicial" una vez sea notificada por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

CAPITULO III

AUTORIZACION

ARTICULO 10. AUTORIZACION A efectos de llevar a cabo los fines anteriormente mencionados, SERVYFARMA S.A.S requiere de manera libre, previa, expresa y debidamente informada de la autorización por parte de los titulares de los datos y para ello ha dispuesto mecanismos idóneos garantizando para cada caso que sea posible verificar el otorgamiento de dicha autorización. La misma podrá constar en cualquier medio, bien sea un documento físico, electrónico o en cualquier formato que garantice su posterior consulta a través de herramientas técnicas, tecnológicas y desarrollos de seguridad informática.

ARTÍCULO 11. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN. La autorización puede constar en un documento físico, electrónico, en un archivo de audio o en cualquier otro formato que permita garantizar su posterior consulta. El contenido de la autorización otorgada para la recolección y tratamiento del dato será emitido por SERVYFARMA S.A.S, y será puesta a disposición del Titular previo al Tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2012. Con el procedimiento de autorización consentida se garantiza que se ha puesto en conocimiento del titular de los datos personales, tanto el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de conocer cualquier alternación a los mismos y el uso específico que de ellos se ha dado. Lo anterior con el fin de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal. La autorización contendrá lo siguiente:

a. Quién recopila (responsable o encargado)

b. Qué recopila (datos que se reciben)

c. Para qué recoge los datos (las finalidades del tratamiento)

d. Cómo ejercer derechos de acceso, corrección, actualización o supresión de los datos personales suministrados

e. Si se recopilan datos sensibles, y la posibilidad de no darlos a conocer.

ARTÍCULO 12. PRUEBA DE LA AUTORIZACIÓN. SERVYFARMA S.A.S, adoptará todas las medidas necesarias para mantener registros de la obtención de autorización por parte de los titulares de datos personales para el tratamiento de los mismos.

ARTÍCULO 13. AVISO DE PRIVACIDAD. El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato, puesto a disposición del titular de los datos personales, para el tratamiento de sus datos. A través de este documento se comunica al Titular de la información:

- El nombre o razón social y datos de contacto del responsable del Tratamiento.

- El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.

- Los derechos que le asisten al Titular.

- Los mecanismos generales dispuestos por el responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. En todos los casos, debe informar al Titular cómo acceder o consultar la política de tratamiento de información.

No obstante, cuando se recolecten datos personales sensibles, el Aviso de Privacidad deberá señalar expresamente el carácter voluntario de responder a las preguntas que versen sobre este tipo de datos.

ARTÍCULO 14. CASOS EN LOS CUALES SERVYFARMA S.A.S NO REQUIERE AUTORIZACION PARA EL TRATAMIENTO DE LOS DATOS QUE TENGA EN SU PODER:

• Cuando la información sea solicitada a la compañía por una entidad pública o administrativa que esté actuando en ejercicio de sus funciones legales o por orden judicial. • Cuando se trate de datos de naturaleza pública debido a que éstos no son protegidos por el ámbito de aplicación de la norma.

• Eventos de urgencia médica o sanitaria debidamente comprobadas.

• Enaquelloseventosdondelainformaciónseaautorizadaporlaleyparacumplirconfineshistóricos,estadísticosycientíficos.• Cuandosetratededatosrelacionadosconelregistrocivildelaspersonasdebidoaqueestainformaciónnoesconsideradacomoundatodenaturalezaprivada.

CAPITULO IV CANALES Y PROCEDIMIENTOS PARA LA ATENCION DE SOLICITUDES,

CONSULTAS Y RECLAMOS

ARTICULO 15. PROCEDIMIENTO PARA LA ATENCION DE SOLICITUDES Y CONSULTAS RELACIONADAS CON EL TRATAMIENTO DE DATOS PERSONALES. Mediante este procedimiento el Titular o quien esté autorizado podrá formular solicitudes y consultas para: 1. Conocer la información personal del Titular que repose en SERVYFARMA S.A.S 2. Solicitar copia de la autorización otorgada por el Titular a SERVYFARMA S.A.S para tratar sus Datos Personales. Estas consultas se podrán realizar de forma gratuita al menos una vez cada mes calendario y cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas. El procedimiento para la atención de las consultas sobre los datos personales del Titular es el siguiente: 1. El Titular o quien esté autorizado para ello, podrá formular consultas a SERVYFARMA S.A.S sobre la información personal del Titular a través de los siguientes mecanismos: - Línea telefónica 6626252 (Cali) - Requerimiento escrito en la CR 7 B BIS 70 143, Cali. - Correo electrónico a la dirección: servyfarma@yahoo.es 2. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. 3. Cuando no fuere posible atender la consulta dentro del término antes indicado, SERVYFARMA S.A.S lo informará al interesado, expresando los motivos y señalando la fecha en que se atenderá su consulta, a más tardar dentro de los cinco (5) días hábiles siguientes al vencimiento del primer término. Los términos antes mencionados pueden variar en caso de que se emitan leyes o reglamentos que establezcan términos inferiores, de acuerdo con la naturaleza el Dato Personal. ARTICULO 16. PROCEDIMIENTO PARA LA ATENCION DE RECLAMOS RELACIONADOS CON EL TRATAMIENTO DE DATOS PERSONALES. Mediante este procedimiento el Titular o quien esté autorizado podrá formular reclamaciones para: 1.Actualizar, modificar, rectificar o suprimir los datos del Titular. 2.Revocar la Autorización del Titular para el Tratamiento de Datos 3.Presentar un reclamo cuando considere que existe un presunto incumplimiento de los deberes de SERVYFARMA S.A.S relacionado con el Tratamiento de Datos Personales, de acuerdo con lo previsto en estas Políticas o en la Ley de Protección de Datos Personales y las normas que la complementen o modifiquen. El Titular podrá revocar la autorización y solicitar la supresión de sus datos cuando:

– No se respeten los principios, derechos y garantías constitucionales y legales, siempre y cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias al ordenamiento. – En virtud de la solicitud libre y voluntaria del Titular del dato, cuando no exista una obligación legal o contractual que imponga al Titular el deber de permanecer en la base de datos. Lo anterior, sin perjuicio de las normas que SERVYFARMA S.A.S debe cumplir en materia de retención documental. En consecuencia, SERVYFARMA S.A.S suprimirá los datos o suspenderá su uso cuando a ello haya lugar, respetando las normas sobre conservación documental que le son aplicables. El procedimiento para la atención de los reclamos sobre los datos personales del Titular es el siguiente: 1. El Titular o quien esté autorizado para ello, podrán formular reclamos a SERVYFARMA S.A.S cuando: - Considere que la información del Titular contenida en una base de datos debe ser objeto de corrección, actualización o supresión. - Advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley de Protección de Datos. - Revoque la autorización para el Tratamiento del Titular. El interesado (El Titular o quien esté autorizado para ello) podrá formular el reclamo a través de los canales mencionados anteriormente. 2. El reclamo del interesado debe contener: la identificación del Titular (nombres y apellidos, tipo y número de documento de identidad, dirección y teléfono de contacto y el e-mail (opcional)), la descripción de los hechos que dan lugar al reclamo los documentos que soporten su reclamación. En caso de no contar con la anterior información, se entenderá que el reclamo no se encuentra completo. 3.Si el reclamo está incompleto, SERVYFARMA S.A.S solicitará al interesado subsanar las fallas o remitir la información o documentación que se requiera dentro de los cinco (5) días siguientes a la recepción del reclamo. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. 4. SERVYFARMA S.A.S atenderá el reclamo en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. 5. Cuando no fuere posible atender el reclamo dentro de dicho término, el (las) área(s) responsables de dar respuesta al interior de SERVYFARMA S.A.S, informará(n) al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

ARTICULO 17. AREA RESPONSABLE DE LA ATENCION DE SOLICITUDES, CONSULTAS Y RECLAMOS. El área de Servicio al Cliente de SERVYFARMA S.A.S es la encargada de recibir las peticiones, consultas y reclamos del Titular relacionados con sus derechos a conocer, actualizar, rectificar y suprimir el Dato Personal y revocar la Autorización. Así mismo velará por la oportuna y adecuada respuesta que emita cada una de las áreas de SERVYFARMA S.A.S a las solicitudes, consultas y reclamos de los Titulares de los Datos.

CAPITULO V TRATAMIENTO DE LOS DATOS Y FINALIDADES

ARTICULO 18. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE CLIENTES Dando el cumplimiento a la Ley 1581 del 2012, la empresa SERVYFARMA S.A.S. Solicitará a sus clientes tanto como personas naturales como jurídicas, los siguientes datos y/o documentos:

• NUMERO DE IDENTIFICACION (CEDULA O NIT) • NOMBRE COMPLETO O RAZON SOCIAL • TELEFONO • DIRECCION • RUT (CLIENTES-COMPRAS A CREDITO)

FINALIDAD DEL USO DE LA INFORMACIÓN SOLICITADA A LOS CLIENTES La información solicitada será de uso o finalidad: • Gestionar el envío de ofertas comerciales y mantenerle informado de nuestros eventos publicitarios. Por evento publicitario se entienden aquellas actividades desplegadas por el área de mercadeo, sus comerciantes y aliados estratégicos con el fin de incentivar las ventas de sus productos y servicios • Permitir a los clientes y/o usuarios la participación en los eventos promocionales programados por el área de mercadeo. • Hacer seguimiento a las inquietudes, sugerencias e inconformidades de los clientes y/o usuarios y facilitar mecanismos para solucionarlos. • Fines estadísticos, de consulta de opinión sin fines políticos y de mejoramiento del servicio. • Uso de envío de los domicilios solicitados por los clientes a través del Contact center de la empresa. RESPONSABLE INTERNO DEL TRATAMIENTO Los responsables internos del tratamiento de la información son:

• Jefe de Contact Center • Jefe de Droguería

ARTICULO 19. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE PROVEEDORES La empresa SERVYFARMA S.A.S. por ser un ente económico dentro de un mercado, algunos funcionarios tienen acceso a la información de datos personales de los proveedores, esta información confidencial se guardará con absoluta reserva y confidencialidad, y solo los utilizará para lo definido por la compañía. Dando el cumplimiento a la Ley 1581 del 2012, la empresa SERVYFARMA S.A.S. solicitará a sus proveedores tanto personas naturales como jurídicas, los siguientes datos y/o documentos:

• RUT • CAMARA DE COMERCIO • CEDULA O NIT • NOMBRE COMPLETO O RAZON SOCIAL • NOMBRE DE CONTACTO AUTORIZADO • TELEFONO FIJO O CELULAR DE CONTACTO • TELEFONO DE LA EMPRESA O ESTABLECIMIENTO • DIRECCIÓN DE LA EMPRESA O ESTABLECIMIENTO • CORREO ELECTRÓNICO

FINALIDAD DEL USO DE LA INFORMACIÓN SOLICITADA AL PROVEEDOR La información solicitada será de uso o finalidad:

1. Uso legal (DIAN – Medios Magnéticos) 2. La empresa SERVYFARMA SAS con el proveedor realiza las transacciones de la

relación comercial (requerimiento y adquisición de inventario y/o materias primas, información de pagos, información con fines tributarios.)

RESPONSABLE INTERNO DEL TRATAMIENTO El responsable del tratamiento de la información es el Director de Compras. USUARIOS AUTORIZADOS QUE RECOLETAN INFORMACIÓN DE DATOS PERSONALES DE PROVEEDORES

• Jefe de Contabilidad • Asistente de Impuestos • Asistente de Contabilidad • Auxiliares de Contabilidad

USUARIOS AUTORIZADOS QUE CONSULTAN INFORMACIÓN DE DATOS PERSONALES DE PROVEEDORES

• Jefe de Contabilidad • Asistente de Impuestos • Asistente de Contabilidad • Auxiliares de Contabilidad • Jefe de Bodega

USUARIOS AUTORIZADOS QUE MODIFICAN Y/O ACTUALIZAN INFORMACIÓN DE DATOS PERSONALES DE PROVEEDORES

• Jefe de Contabilidad • Asistente de Impuestos • Asistente de Contabilidad • Auxiliares de Contabilidad

ARTICULO 20. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE EMPLEADOS Dando el cumplimiento a la Ley 1581 del 2012, la empresa SERVYFARMA S.A.S. solicitará a sus empleados y/o candidatos los siguientes datos y/o documentos:

• HOJA DE VIDA • FOTOCOPIA DE LA CEDULA • NOMBRE Y APELLIDOS • FOTO • CERTIFICADO DE EPS Y PENSIÓN • RUT • FOTOCOPIA LICENCIA DE CONDUCIR • FOTOCOPIA TARJETA DE PROPIEDAD • FOTOCOPIA SOAT • FOTOCOPIA DE RTM • REGISTRO CIVIL DE NACIMIENTO O TARJETA DE IDENTIDAD DE HIJOS • CERTIFICADO DE MATRIMONIO • FOTOCOPIA CEDULA DEL CONYUGE • NÚMERO DE IDENTIFICACIÓN • TELEFONO FIJO O CELULAR • DIRECCIÓN • ESTADO CIVIL • FECHA DE NACIMIENTO • TIPO DE SANGRE • CANTIDAD DE HIJOS, NOMBRE COMPLETO, FECHA NACIMIENTO • NOMBRE COMPLETO DEL CONYUGE, FECHA DE NACIMIENTO, TELEFONO CELULAR

• EMERGENCIAS: NOMBRE COMPLETO, TELEFONOS DE CONTACTO. • REGISTRO ENFERMADES (SGSST) • EXAMENES DE INGRESO Y EGRESO DEL PERSONAL

FINALIDAD DEL USO DE LA INFORMACIÓN SOLICITADA AL EMPLEADO La información solicitada será de uso o finalidad:

• Uso legal (DIAN – Medios Magnéticos). • Afiliaciones al sistema de salud, pensión, ARL, y cajas de compensación familiar. Ley

100 de 1993 y Decreto 2353 de 2015. • Cumplimiento del Sistema Seguridad y Salud en el Trabajo. Ley 1562 de 2011,

Decreto 1443 de 2014 y Decreto 1072 de 2015. • Verificación de información personal, familiar, financiera, crediticia, comercial y laboral. • Aspectos Laborales y de Seguridad Social y aquellos relacionados con el (los)

contratos que celebre o pretenda celebrar con SERVYFARMA S.A.S. • Control y prevención del fraude. • De seguridad y/o de prueba ante una autoridad judicial o administrativa, cuando los

datos sean obtenidos a través de grabaciones o suministrados por el Titular a la empresa de vigilancia para el ingreso o permanencia en las instalaciones de SERVYFARMA S.A.S.

• Fines estadísticos, de consulta o gremiales. • La solicitud, procesamiento, conservación, verificación, consulta, suministro, reporte o

actualización de cualquier información relacionada con el comportamiento financiero, crediticio o comercial a los operadores de bancos de datos o centrales de información autorizados por la legislación, incluidos DATACRÉDITO y CIFIN, con fines estadísticos de verificación del riesgo crediticio o de reporte histórico de comportamiento comercial, en caso que SERVYFARMA S.A.S otorgue un crédito y por lo tanto el empleado adquiera la calidad de deudor de ésta.

• Fines tributarios, incluido el envío de información a autoridades tributarias de otros países, tal como la de posibles sujetos de tributación en los Estados Unidos al Internal Revenue Service (IRS) y/o a la Dirección de Impuestos y Aduanas Nacionales de Colombia (DIAN), en los términos del Foreign Account Tax Compliance Act (FATCA) o las normas que lo modifiquen y las reglamentaciones aplicables.

RESPONSABLE INTERNO DEL TRATAMIENTO El responsable del tratamiento de la información es el Jefe de Recursos Humanos. OTROS USUARIOS INTERNOS AUTORIZADOS EN EL ACCESO A LA INFORMACIÓN DE EMPLEADOS La empresa SERVYFARMA S.A.S. por ser un ente económico dentro de un mercado, regido por las diversas leyes laborales, algunos funcionarios tienen acceso a la información de datos personales, donde cada uno de ellos guardará absoluta reserva y confidencialidad con dichos datos personales, y solo los utilizará para lo definido por la compañía. USUARIOS AUTORIZADOS QUE RECOLETAN INFORMACIÓN DE DATOS PERSONALES DE EMPLEADOS

• Jefe de Recursos Humanos • Coordinadora de Recursos Humanos • Coordinadora Salud Ocupacional

USUARIOS AUTORIZADOS QUE CONSULTAN INFORMACIÓN DE DATOS PERSONALES DE EMPLEADOS

• Jefe de Recursos Humanos • Coordinadora de Recursos Humanos • Jefe de Contabilidad • Asistente de Impuestos • Asistente de Contabilidad • Auxiliares de Contabilidad

USUARIOS AUTORIZADOS QUE MODIFICAN Y/O ACTUALIZAN INFORMACIÓN DE DATOS PERSONALES DE EMPLEADOS

• Jefe de Recursos Humanos • Coordinadora de Recursos Humanos

CAPITULO VI POLÍTICAS DE SEGURIDAD INFORMÁTICA

SERVYFARMA S.AS, adoptará todas las medidas técnicas, humanas y administrativas que sean indispensables para dotar de seguridad sus bases de datos, evitando su adulteración, pérdida, consulta, acceso no autorizado o fraudulento. Entre otras, las medidas de seguridad adoptadas incluyen, pero no se limitan a:

– Encriptar la prestación de nuestros servicios usando protocolos de seguridad. – Establecimiento de cláusulas de confidencialidad contractual con los empleados que

van más allá de la duración misma del contrato. – Implementación de procesos de seguridad para verificar la identidad de las personas

que acceden a la información ya sea de manera física o electrónica. – Actualización permanente de las medidas de seguridad para adaptarlas a la

normatividad vigente. – Adopción de sistemas de seguridad de firewalls y detección de accesos no autorizados.

– Monitoreo periódico de actividades sospechosas y mantenimiento físico y electrónico de las bases de datos.

– Restricción interna de acceso a las bases de datos solo al personal autorizado.

CAPITULO VII LEGISLACION APLICABLE Y VIGENCIA

Las políticas contenidas en el presente documento se elaboraron teniendo en cuenta el artículo 15 de la Constitución Política, las disposiciones contenidas en los artículos 15 y 20 de la Constitución Política, la Ley 1266 de 2008, la Ley 1581 de 2012. El presente Manual rige a partir del primero (01) de (noviembre) de 2016.