PRINCIPIOS GENERALES Y POSTULADOS 10X Thinking SAS

1. respetuoso del ordenamiento jurídico y de los derechos individuales, adoptan la presente Política de Tratamiento de la Información, que tiene como fin establecer los lineamientos para garantizar el derecho al Habeas Data de todas aquellas personas naturales que proporcionen datos a la sociedad. La información será tratada de acuerdo con los principios de libertad, legalidad, finalidad, veracidad, trasparencia, acceso y circulación restringida, seguridad, confidencialidad, proporcionalidad, temporalidad y buena fe, disponiendo así de mecanismos adecuados para eliminar la información personal cuando el titular de la misma lo solicite. NORMATIVA APLICABLE La presente política fue elaborada con base en las disposiciones normativas consignadas en el artículo 15 de la Constitución Política de Colombia y el Decreto Único Reglamentario del Sector Turismo -DUR 1074 de 2015. ÁMBITO DE APLICACIÓN La presente política se aplica a los datos personales recolectados por la sociedad en el desarrollo del objeto social. DEFINICIONES Las siguientes definiciones se realizan con el fin de aclarar el alcance de la presente política y de la normativa regulatoria. a. Autorización: Consentimiento previo, expreso e informado que da el titular para llevar a cabo el Tratamiento de datos personales. b. Aviso de privacidad: Comunicación verbal o escrita generada por el 1 Sociedad legalmente constituida ante la Cámara de Comercio de __________________; identificada con el NIT __________________; cuyo domicilio principal se encuentra en el municipio de __________________, en la dirección __________________.

Responsable y dirigida al titular para el tratamiento de sus datos personales. Se informa en este sobre la existencia de las políticas de tratamiento de información que le serán aplicables a su información y la forma en que podrá acceder a ellos. c) Base de Datos: Conjunto organizado de datos personales que es objeto de Tratamiento. d) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. e) Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos aquellos que pueden obtenerse sin reserva alguna. f) Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. g) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. h) Tratamiento: Cualquier acción sobre datos personales como recolección, almacenamiento o uso. i) Encargado del Tratamiento: Persona natural o jurídica, pública o privada que por cuenta propia o en asocio con otros lleva a cabo el tratamiento de datos personales j) Responsable del Tratamiento Persona natural o jurídica, pública o privada que por cuenta propia o en asocio con otros, tome decisiones respecto a las bases de datos personales k) Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

TRATAMIENTO AL QUE SERÁN SOMETIDOS LOS DATOS PERSONALES

10X Thinking SAS, dentro del desarrollo y exploración de la plataforma, dará un tratamiento responsable de los datos personales que lleguen a ser recolectados mediante la plataforma. Dicho tratamiento dependerá de la finalidad para la cual hayan sido suministrados los diferentes datos personales, las cuales dependerán del carácter de la relación en virtud de la cual el titular se haya vinculado a la plataforma. Con base en lo anterior, los datos personales de los titulares serán recolectados, almacenados, utilizados y/o suprimidos, atendiendo a cualquiera de las siguientes finalidades: Gestión de estadísticas internas; Análisis de perfiles; Fidelización de clientes; Fines estadísticos; Gestiones administrativas, de clientes, de cobros y pagos, de facturación, de proveedores, económicas y contables; Realizar históricos de relaciones comerciales; Marketing; Encuestas de opinión, prospección comercial, segmentación de mercados; Publicidad propia; Venta a distancia; Registro de entrada y salida de documentos. (En caso de identificar que el tratamiento de las bases de datos de las cuales la sociedad es Responsable tiene otra finalidad favor incluirla o de ser el caso depurar el listado propuesto.) Las anteriores finalidades serán susceptibles de modificación conforme a las dinámicas y evolución de los servicios y herramientas proporcionados en la página web. En todo caso, las finalidades del tratamiento de datos personales serán el límite material para el mismo, por lo que 10X Thinking SAS, no hará uso de los datos personales del titular para finalidades distintas de las enunciadas, salvo que el titular expresamente lo autorice. Igualmente, 10X Thinking SAS se compromete a informar al titular, con la mayor brevedad posible, cualquier modificación respecto del tratamiento al que se encuentra sometidos sus datos personales. Lo anterior con el fin de que el mismo pueda ejercer los derechos que le han sido reconocidos desde el plano legal y dentro de la presente política. En todo caso se debe tener en cuenta que el tratamiento de los datos personales se hará únicamente durante el tiempo que sea estrictamente necesario para el cumplimiento de la finalidad para la cual se otorgó la información mediante el canal2 procedente. Autorización para el tratamiento de datos personales Tanto la recolección, circulación y uso de los datos personales que, en virtud de su operación, lleva a cabo 10X Thinking SAS, necesita del consentimiento libre, previo, e informado de su titular. 10X Thinking SAS, actuando en calidad de responsable del tratamiento de dichos datos, dispone de los mecanismos necesarios para obtener la autorización de sus titulares, la cual es completamente verificable. Otorgamiento de la autorización Acorde con el tenor de la Ley 1581 de 2012, la autorización se realizará previamente a la recolección y tratamiento de los datos personales, se informarán también los procedimientos a los que serán sometidos sus datos y las finalidades de uso de los mismos. 2. Entiéndase canal formulario, página web, encuesta, prestación del servicio y/o cualquier otro similar.

La herramienta principal que es utilizada para la obtención de las respectivas autorizaciones por parte de los titulares de los datos personales es la página web, donde se realiza la operación de cara al roll que ostente en el perfil. En el mismo orden de ideas, amparado por las disposiciones del artículo 20 del Decreto 1377 de 2013, se encuentran legitimados para el ejercicio de los derechos del titular, y por lo tanto para brindar las correspondientes autorizaciones para el tratamiento de datos personales: • El titular • Sus causahabientes • El representante o apoderado del titular • Un tercero ajeno al titular, por medio de la figura de “estipulación en favor de otro”, de acuerdo con la regulación contendida dentro del artículo 1506 del Código Civil. En todos los casos, las autorizaciones, sin importar su medio de adquisición, estarán conformadas de acuerdo con los requisitos mínimos exigidos por el artículo 5 del Decreto 1377 de 2013, es decir, la exposición de las finales para las cuales se están recolectando y serán tratados los datos personales. Verificación y

prueba de la autorización Los titulares de los datos personales podrán solicitar constancia de la autorización que han brindado a 10X Thinking SAS, mientras que estos ostenten la calidad de responsables del tratamiento de los mismos. Para ello, 10X Thinking SAS, deberá contar con evidencias de la autorización del tratamiento de datos personales, otorgada por el titular. Casos en los que no se requiere la autorización Con arreglo de la normatividad sobre la materia, 10X Thinking SAS, no solicitará autorización para el tratamiento de datos personales bajo los siguientes supuestos: i) Cuando los datos tratados sean de naturaleza pública. ii) El tratamiento de información haya sido autorizado por la ley para fines históricos, estadísticos o científicos. DERECHOS DE LOS TITULARES 10X Thinking SAS, en su calidad de responsable del tratamiento de datos personales, reconoce los siguientes derechos a todos los titulares cuya información esté siendo objeto de tratamiento por parte de estos: i) Conocer, actualizar y rectificar sus datos personales frente a 10X Thinking SAS ii) Solicitar prueba de la autorización otorgada a 10X Thinking SAS. iii) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante 10X Thinking SAS según el contenido del apartado “Procedimiento para el Ejercicio de los Derechos de los Titulares” de la presente política. iv) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. v) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

ÁREA RESPONSABLE DEL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

10X Thinking SAS ha designado como responsable de la atención a solicitudes relacionadas con el ejercicio de los derechos reconocidos a los titulares cuya información está siendo tratada por la compañía a la persona que se encuentre ocupando el cargo de “[DETERMINAR EL CARGO]”. Lo anterior, mediante el correo electrónico xxxxxx@xxxxxxx.xx (Se debe determinar un correo electrónico que sea el canal de contacto con los titulares de los datos personales con el fin de que sea por este medio que se de tramiten las peticiones de los titulares). Para ello, el responsable se ceñirá estrictamente al procedimiento adoptado dentro de la presente política para que los titulares puedan ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización; mediante la interposición de peticiones, consultas y reclamos.

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

Todos los Encargados de tratamiento de datos personales de 10X Thinking SAS, deberán seguir estrictamente el siguiente procedimiento cuando algún titular cuyos datos personales se encuentren registrados dentro de cualquier base de datos de la sociedad. Canales de contacto 10X Thinking SAS, ha dispuesto como canales de contacto para que los titulares puedan ejercer sus derechos por los siguientes: • Página web: www.xxxxx.xxx • Correo electrónico: xxxxxxxxx@xxxxxxxxxx.co Consultas Los titulares o sus causahabientes, por sí mismo o por medio de apoderado, podrán consultar la información que de este repose en las bases de datos administradas por 10X Thinking SAS. Los titulares deberán acreditar su identidad adjuntando copia de la cédula a la solicitud escrita que presenten. Los causahabientes deberán acreditar dicha calidad adjuntando el registro civil de nacimiento del causante y del causahabiente, el registro civil de defunción y copia de su documento de identidad. También se podrá acreditar la calidad por medio de copia de la escritura que apertura la sucesión, auto en el cual se reconozcan los herederos o copia del testamento, siempre presentando su documento de identidad. Los apoderados, deberán presentar

copia del poder otorgado, la cual se presumirá auténtica, y copia de su documento de identidad. Una vez que mediante el canal determinado para ello sea recibida la solicitud, reciba la solicitud de información, procederá a revisar el registro individual que corresponda al nombre del Titular y al número de documento de identidad aportado. Si encontrare alguna diferencia entre estos dos datos lo informará dentro de los cinco (5) días hábiles siguientes a su recibo, con el fin de que el solicitante la aclare. Si revisado el documento aportado y el nombre del Titular se encuentra que hay conformidad en los mismos procederá a dar respuesta en un término de diez (10) días hábiles. En el evento en que 10X Thinking SAS considere que requiere de un mayor tiempo para dar respuesta a la consulta, informará al Titular de tal situación y dará respuesta en un término que no excederá cinco (5) días hábiles siguientes al vencimiento del término. Reclamos El Titular o sus Causahabientes que consideren que la información contenida en una base de datos administrada por 10X Thinking SAS debe ser sujeta de corrección, actualización o supresión, o si advierten un incumplimiento por parte de esta o de alguno de sus Encargados, podrán presentar un reclamo ante 10X Thinking SAS.

El reclamo se formulará exclusivamente por medio de un correo electrónico enviado a xxxxxxxxx@xxxxxxxxxx.co, acompañado del documento que identifique al Titular, la descripción clara de los hechos que dan lugar al reclamo, la dirección donde desea recibir notificaciones, pudiendo ser esta física o electrónica, y adjuntando los documentos que pretenda hacer valer. La calidad de causahabiente y apoderado se deberá demostrar conforme fue explicado en el punto anterior. Si el reclamo resulta incompleto se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En el caso en que 10X Thinking SAS, no sea el competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. 10X Thinking SAS, utilizará un correo electrónico único para estos efectos de tal manera que se pueda identificar en qué momento se da traslado y la respuesta o confirmación de recibido correspondiente. Si 10X Thinking SAS, no conoce la persona a quien deba trasladarlo, informará de inmediato al Titular con copia a la Superintendencia de Industria y Comercio. Una vez recibido el reclamo completo, se debe incluir en la base de datos correspondiente a los clientes o usuario del sitio web en el campo observación, la leyenda “reclamo en trámite”, esto debe ocurrir en un término máximo de dos (2) días hábiles. El término máximo para responder el reclamo es de 15 días hábiles, si no es posible hacerlo en este término se informará al interesado los motivos de la demora y la fecha en que éste se atenderá, la cual no podrá exceder de ocho (8) días hábiles siguientes al vencimiento del primer término. Quejas ante la Superintendencia de Industria y Comercio El Titular, Causahabiente o apoderado deberá agotar en primer lugar este trámite de consulta o reclamo, con el responsable de la información, antes de dirigirse a la Superintendencia de Industria y Comercio a formular una queja. Disposiciones especiales

Supresión de datos: La supresión de datos no procederá cuando: i) El titular tenga un deber legal o contractual de permanecer en la base de datos. ii) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas. iii) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés

público, o para cumplir con una obligación legalmente adquirida por el titular. Revocatoria de la autorización: Los titulares de los datos personales pueden revocar total o parcialmente la autorización de tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello, el titular en la solicitud deberá indicar el motivo por el cual solicita la revocatoria y el tipo de retiro si es total o parcial, respecto de alguna finalidad determinada. En los casos en que por disposición contractual entre el titular de los datos y 10X Thinking SAS , no se permita la revocatoria, se deberá realizar en primera instancia la finalización de la obligación que dio origen a la autorización. TRATAMIENTO DE DATOS SENSIBLES Y DE NIÑOS, NIÑAS Y ADOLESCENTES En principio, 10X Thinking SAS, no realizará tratamiento de la información personal que, con arreglo de las definiciones incorporadas dentro de la presente política, tengan el carácter de DATOS SENSIBLES. Sin embargo, cuando eventualmente alguno de los datos que pueden ser catalogados dentro de estas categorías llegue a ser objeto de tratamiento, de los responsables, los mismos se utilizarán exclusivamente para alguna de las siguientes finalidades: i) El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales de los últimos deberán otorgar su autorización. ii) El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. iii) El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares En todo caso, de cara a la recolección de los datos personales de carácter sensible de los titulares, 10X Thinking SAS, informará a estos últimos la voluntariedad respecto de la entrega de dichos datos y su tratamiento estará mediado por la expresa autorización del titular para tales fines. MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN Con base en el principio de seguridad de la ley 1581 de 2012 y para dar cumplimiento a sus disposiciones, 10X Thinking SAS, ha implementado un conjunto de prácticas automatizadas y administrativas para evitar el acceso no autorizado, adulteración o pérdida de los datos personales que se recolecten. Estas consisten en: Ingreso por usuario asignado, el cual tiene designado un software dentro del sistema de gestión documental utilizado por la sociedad. Dicho rol limita los posibles accesos dentro del sistema y las funciones (administración, configuración, consulta, eliminación, etc.) que tendrá cada usuario. DISPOSICIONES FINALES 10X Thinking SAS, podrán realizar cambios o actualizaciones en las políticas, las cuales estarán vigentes mientras así lo determinen las directivas o por disposición legal o administrativa; informando en todo caso a los titulares de los datos personales sobre las modificaciones LEGISLACIÓN NACIONAL VIGENTE Es importante reiterar que las actividades relacionadas con el tratamiento de datos personales que desarrolla 10X Thinking SAS, son reguladas, por la Superintendencia de Industria y Comercio. Asimismo, en esta misma materia se aplicará la Ley 1581 de 2012, el Decreto 1377 de 2013 y en lo que corresponda a la Ley 1266 de 2008 referida a los datos de carácter financiero y crediticios y consulta y reporte a centrales de riesgo. Y los demás que la reglamenten, adicionen o modifiquen. FECHA DE ENTRADA EN VIGENCIA DE LA POLÍTICA DE TRATAMIENTO Esta Política de Tratamiento de la información se publica en el mes de ________________ del año 2021, bajo una versión 1.0. (De ser otra versión, favor actualizar la misma).