PRINCIPIOS GENERALES Y POSTULADOS 10X Thinking SAS

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

10X Thinking S.A.S., sociedad legalmente constituida ante la Cámara de Comercio de Medellín, identificada con el NIT 900609187-9, con domicilio principal en el municipio de Medellín, en la dirección Cra 73ª #30b-72, en cumplimiento del ordenamiento jurídico colombiano y en especial del derecho fundamental al Habeas Data consagrado en el artículo 15 de la Constitución Política de Colombia, adopta la presente Política de Tratamiento de Información Personal.

Esta política tiene como fin establecer los lineamientos para garantizar el derecho al conocimiento, actualización, rectificación y supresión de datos personales, conforme a los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, proporcionalidad, temporalidad y buena fe.

NORMATIVA APLICABLE La presente política fue elaborada con base en las disposiciones normativas consignadas en el artículo 15 de la Constitución Política de Colombia y la Ley 1581 de 2012

ÁMBITO DE APLICACIÓN La presente política se aplica a los datos personales recolectados por la sociedad en el desarrollo del objeto social.

DEFINICIONES Las siguientes definiciones se realizan con el fin de aclarar el alcance de la presente política y de la normativa regulatoria.

a. Autorización: Consentimiento previo, expreso e informado que da el titular para llevar a cabo el Tratamiento de datos personales.

b. Aviso de privacidad: Comunicación verbal o escrita generada por 10X Thinking. Responsable y dirigida al titular para el tratamiento de sus datos personales. Se informa en este sobre la existencia de las políticas de tratamiento de información que le serán aplicables a su información y la forma en que podrá acceder a ellos.

c) Base de Datos: Conjunto organizado de datos personales que es objeto de Tratamiento.

d) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

e) Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos aquellos que pueden obtenerse sin reserva alguna.

f) Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

g) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

h) Tratamiento: Cualquier acción sobre datos personales como recolección, almacenamiento o uso.

i) Encargado del Tratamiento: Persona natural o jurídica, pública o privada que por cuenta propia o en asocio con otros lleva a cabo el tratamiento de datos personales

j) Responsable del Tratamiento Persona natural o jurídica, pública o privada que por cuenta propia o en asocio con otros, tome decisiones respecto a las bases de datos personales

k) Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

TRATAMIENTO AL QUE SERÁN SOMETIDOS LOS DATOS PERSONALES

10X Thinking SAS, dentro del desarrollo y exploración de la plataforma, dará un tratamiento responsable de los datos personales que lleguen a ser recolectados mediante la plataforma. Dicho tratamiento dependerá de la finalidad para la cual hayan sido suministrados los diferentes datos personales, las cuales dependerán del carácter de la relación en virtud de la cual el titular se haya vinculado a la plataforma. Con base en lo anterior, los datos personales de los titulares serán recolectados, almacenados, utilizados y/o suprimidos, atendiendo a cualquiera de las siguientes finalidades: Gestión de estadísticas internas; Análisis de perfiles; Fidelización de clientes; Fines estadísticos; Gestiones administrativas, de clientes, de cobros y pagos, de facturación, de proveedores, económicas y contables; Realizar históricos de relaciones comerciales; Marketing; Encuestas de opinión, prospección comercial, segmentación de mercados; Publicidad propia; Venta a distancia; Registro de entrada y salida de documentos. (En caso de identificar que el tratamiento de las bases de datos de las cuales la sociedad es Responsable tiene otra finalidad favor incluirla o de ser el caso depurar el listado propuesto.) Las anteriores finalidades serán susceptibles de modificación conforme a las dinámicas y evolución de los servicios y herramientas proporcionados en la página web. En todo caso, las finalidades del tratamiento de datos personales serán el límite material para el mismo, por lo que 10X Thinking SAS, no hará uso de los datos personales del titular para finalidades distintas de las enunciadas, salvo que el titular expresamente lo autorice.

Igualmente, 10X Thinking SAS se compromete a informar al titular, con la mayor brevedad posible, cualquier modificación respecto del tratamiento al que se encuentra sometidos sus datos personales. Lo anterior con el fin de que el mismo pueda ejercer los derechos que le han sido reconocidos desde el plano legal y dentro de la presente política. En todo caso se debe tener en cuenta que el tratamiento de los datos personales se hará únicamente durante el tiempo que sea estrictamente necesario para el cumplimiento de la finalidad para la cual se otorgó la información mediante el canal procedente (Entiéndase canal formulario, página web, encuesta, prestación del servicio y/o cualquier otro similar)

Autorización para el tratamiento de datos personales

Tanto la recolección, circulación y uso de los datos personales que, en virtud de su operación, lleva a cabo 10X Thinking SAS, necesita del consentimiento libre, previo, e informado de su titular. 10X Thinking SAS, actuando en calidad de responsable del tratamiento de dichos datos, dispone de los mecanismos necesarios para obtener la autorización de sus titulares, la cual es completamente verificable. Otorgamiento de la autorización Acorde con la Ley 1581 de 2012, la autorización se realizará previamente a la recolección y tratamiento de los datos personales, se informarán también los procedimientos a los que serán sometidos sus datos y las finalidades de uso de los mismos.

La herramienta principal que es utilizada para la obtención de las respectivas autorizaciones por parte de los titulares de los datos personales es la página web, donde se realiza la operación de cara al roll que ostente en el perfil. En el mismo orden de ideas, amparado por las disposiciones del artículo 20 del Decreto 1377 de 2013, se encuentran legitimados para el ejercicio de los derechos del titular, y por lo tanto para brindar las correspondientes autorizaciones para el tratamiento de datos personales: • El titular • Sus causahabientes • El representante o apoderado del titular • Un tercero ajeno al titular, por medio de la figura de “estipulación en favor de otro”, de acuerdo con la regulación contendida dentro del artículo 1506 del Código Civil. En todos los casos, las autorizaciones, sin importar su medio de adquisición, estarán conformadas de acuerdo con los requisitos mínimos exigidos por el artículo 5 del Decreto 1377 de 2013, es decir, la exposición de las finales para las cuales se están recolectando y serán tratados los datos personales. Verificación y prueba de la autorización Los titulares de los datos personales podrán solicitar constancia de la autorización que han brindado a 10X Thinking SAS, mientras que estos ostenten la calidad de responsables del tratamiento de los mismos. Para ello, 10X Thinking SAS, deberá contar con evidencias de la autorización del tratamiento de datos personales, otorgada por el titular. Casos en los que no se requiere la autorización Con arreglo de la normatividad sobre la materia, 10X Thinking SAS, no solicitará autorización para el tratamiento de datos personales bajo los siguientes supuestos:

i) Cuando los datos tratados sean de naturaleza pública.

ii) El tratamiento de información haya sido autorizado por la ley para fines históricos, estadísticos o científicos. DERECHOS DE LOS TITULARES 10X Thinking SAS, en su calidad de responsable del tratamiento de datos personales, reconoce los siguientes derechos a todos los titulares cuya información esté siendo objeto de tratamiento por parte de estos: i) Conocer, actualizar y rectificar sus datos personales frente a 10X Thinking SAS ii) Solicitar prueba de la autorización otorgada a 10X Thinking SAS.

iii) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante 10X Thinking SAS según el contenido del apartado “Procedimiento para el Ejercicio de los Derechos de los Titulares” de la presente política.

iv) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. v) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

ÁREA RESPONSABLE DEL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

10X Thinking SAS ha designado como responsable de la atención a solicitudes relacionadas con el ejercicio de los derechos reconocidos a los titulares cuya información está siendo tratada por la compañía a la persona que se encuentre ocupando el cargo de asistente administrativa. Lo anterior, mediante el correo electrónico administracion@10xthinking.com.co

Para ello, el responsable se ceñirá estrictamente al procedimiento adoptado dentro de la presente política para que los titulares puedan ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización; mediante la interposición de peticiones, consultas y reclamos.

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

Todos los Encargados de tratamiento de datos personales de 10X Thinking SAS, deberán seguir estrictamente el siguiente procedimiento cuando algún titular cuyos datos personales se encuentren registrados dentro de cualquier base de datos de la sociedad. Canales de contacto 10X Thinking SAS, ha dispuesto como canales de contacto para que los titulares puedan ejercer sus derechos por los siguientes:

• Página web: https://10xthinking.com.co/

• Correo electrónico: administracion@10xthinking.com.co

Consultas: Se responderán dentro de los diez (10) días hábiles siguientes a su recepción.

Reclamos: Se resolverán dentro de los quince (15) días hábiles. En caso de requerir información adicional, se informará al titular en los cinco (5) días hábiles siguientes a la recepción del reclamo.

El reclamo se formulará exclusivamente por medio de un correo electrónico enviado a administracion@10xthinking.com.co, acompañado del documento que identifique al Titular, la descripción clara de los hechos que dan lugar al reclamo, la dirección donde desea recibir notificaciones, pudiendo ser esta física o electrónica, y adjuntando los documentos que pretenda hacer valer.

SUPRESIÓN DE DATOS Y REVOCATORIA DE AUTORIZACIÓN

Los titulares de los datos personales pueden revocar total o parcialmente la autorización de tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello, el titular en la solicitud deberá indicar el motivo por el cual solicita la revocatoria y el tipo de retiro si es total o parcial, respecto de alguna finalidad determinada. En los casos en que por disposición contractual entre el titular de los datos y 10X Thinking SAS , no se permita la revocatoria, se deberá realizar en primera instancia la finalización de la obligación que dio origen a la autorización.

Los datos serán suprimidos a solicitud del titular, salvo en los siguientes casos:

• Existencia de un deber legal o contractual.

• Interferencia en procesos judiciales o administrativos.

• Protección de intereses legítimos del titular o de terceros.

TRATAMIENTO DE DATOS SENSIBLES Y DE NIÑOS, NIÑAS Y ADOLESCENTES En principio, 10X Thinking SAS, no realizará tratamiento de la información personal que, con arreglo de las definiciones incorporadas dentro de la presente política, tengan el carácter de DATOS SENSIBLES. Sin embargo, cuando eventualmente alguno de los datos que pueden ser catalogados dentro de estas categorías llegue a ser objeto de tratamiento, de los responsables, los mismos se utilizarán exclusivamente para alguna de las siguientes finalidades:

i) El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales de los últimos deberán otorgar su autorización.

ii) El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

iii) El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares En todo caso, de cara a la recolección de los datos personales de carácter sensible de los titulares, 10X Thinking SAS, informará a estos últimos la voluntariedad respecto de la entrega de dichos datos y su tratamiento estará mediado por la expresa autorización del titular para tales fines. MEDIDAS DE SEGURIDAD Y

CONFIDENCIALIDAD DE LA INFORMACIÓN

Con base en el principio de seguridad de la ley 1581 de 2012 y para dar cumplimiento a sus disposiciones, 10X Thinking SAS, ha implementado un conjunto de prácticas automatizadas y administrativas para evitar el acceso no autorizado, adulteración o pérdida de los datos personales que se recolecten. Estas consisten en: Ingreso por usuario asignado, el cual tiene designado un software dentro del sistema de gestión documental utilizado por la sociedad. Dicho rol limita los posibles accesos dentro del sistema y las funciones (administración, configuración, consulta, eliminación, etc.) que tendrá cada usuario.

DISPOSICIONES FINALES

10X Thinking SAS, podrán realizar cambios o actualizaciones en las políticas, las cuales estarán vigentes mientras así lo determinen las directivas o por disposición legal o administrativa; informando en todo caso a los titulares de los datos personales sobre las modificaciones

LEGISLACIÓN NACIONAL VIGENTE

Es importante reiterar que las actividades relacionadas con el tratamiento de datos personales que desarrolla 10X Thinking SAS, son reguladas, por la Superintendencia de Industria y Comercio. Asimismo, en esta misma materia se aplicará la Ley 1581 de 2012, el Decreto 1377 de 2013 y en lo que corresponda a la Ley 1266 de 2008 referida a los datos de carácter financiero y crediticios y consulta y reporte a centrales de riesgo. Y los demás que la reglamenten, adicionen o modifiquen.

FECHA DE ENTRADA EN VIGENCIA DE LA POLÍTICA DE TRATAMIENTO Esta Política de Tratamiento de la información se publica en el mes de enero del año 2021, bajo una versión 1.0.