Data protection policy

INTRODUCTION

The organization “GALAVANTA TRAVEL S.A.S” (GALAVANTA TRAVEL), in compliance with the provisions of Article 15 of the Political Constitution of Colombia, Statutory Law 1581 of 2012, and the Sole Regulatory Decree of the Commerce, Industry and Tourism Sector, Decree 1574 of 2015, Decree 090 of 2018, as well as its regulatory and complementary rules, declares that the purpose of this Manual is to protect the “constitutional right that all people have to know, update, and rectify the information that has been collected about them in databases or files, and the other constitutional rights, freedoms and guarantees, as well as the right to information enshrined in Article 20 of the Political Constitution.”

In this way, GALAVANTA TRAVEL, through this document, “will take all reasonable security measures to ensure that the personal information contained in the databases it manages is provided only to the owners, to persons duly authorized by them, to their successors, or to any other Holder recognized by law.” Likewise, it will guarantee at all times the fundamental rights to intimacy, good name, and privacy of natural persons, which is why it adopts and applies this Manual of Policies and Procedures for the Protection of Personal Data.

For GALAVANTA TRAVEL, efficiency in the management of information and access to truthful communication channels are among its priorities in regulation, not only with respect to its team of collaborators, but also with its suppliers, contractors, beneficiaries, and other actors that enable the development of our purpose, including our national and foreign partners. Therefore, this Manual allows each of the internal and external members or groups that are part of GALAVANTA TRAVEL or have some civil or commercial relationship with us, to know the rights and obligations that Law 1581 of 2012 and the complementary rules have developed, guaranteed, and established for the Holders of personal information.

In compliance with Colombian regulations that govern the Processing of Personal Data, GALAVANTA TRAVEL has decided to adopt this Manual, which establishes the conditions and obligations of those involved and participating in the Processing and use of personal information, the operating system, and the applicable procedures for the processing of personal data that, in the course of the activities of our corporate purpose, must be requested, used, stored, corrected, transferred, deleted, or otherwise processed.

This has been resolved in order to fully comply with the provisions of Article 15 of the Political Constitution of Colombia and Law 1581 of 2012, as well as other rules that regulate and complement the Processing for the Protection of Personal Data in Colombia.

It is hereby made known to all that GALAVANTA TRAVEL is responsible for the Processing of Personal Data and, in compliance with the provisions of Regulatory Decree 1377 of 2013, adopts and makes public to all interested parties this Manual, which contains all the essential, simple, and secure elements for compliance with the corresponding legislation on the Protection of Personal Data in Colombia. Likewise, this Manual will serve as pedagogical material for all members, sectors, or groups of interest that have some type of relationship with GALAVANTA TRAVEL, directly or indirectly, contributing to the proper knowledge of the fundamental right to the Protection of Personal Data and other related Rights.

In compliance with the provisions of Article 13.3 of Regulatory Decree 1377 of 2013, the following notes are made:

GALAVANTA TRAVEL DECLARES ITSELF RESPONSIBLE FOR THIS MANUAL AND FOR THE PROCESSING OF DATA PROTECTION THAT, IN THE EXERCISE OF ITS FUNCTIONS, IT CARRIES OUT WITH RESPECT TO NATURAL PERSONS WHO ARE HOLDERS OF PERSONAL DATA. THEREFORE, THE FOLLOWING IS IDENTIFIED:

Company Name: GALAVANTA TRAVEL S.A.S.
NIT (Tax ID): 900963038-6
Domicile: Calle Segunda de Badillo #36-149, Floor 2, Barrio Centro. Cartagena, Bolívar, Colombia.
Phone: (605) 6648654
Email: alexis@galavanta.com
Responsible: Data Protection Officer of GALAVANTA TRAVEL.

GALAVANTA TRAVEL has appointed the Data Protection Officer, who will be responsible for the processing of data, as well as handling requests, inquiries, and claims, before which the Holder of the information may exercise their rights to know, update, rectify, and delete the data, and revoke the authorization. This information will be further developed in a later section of this Manual.

This policy applies to all internal and external procedures of GALAVANTA TRAVEL, where personal data of third parties (natural persons) are collected.

DEFINITIONS

According to Law 1581 of 2012 and Decree 1377 of 2013, the following definitions are established, which will be applied and implemented, adopting the interpretation criteria that guarantee a systematic and comprehensive application, taking into account technological advances:

Privacy Notice: “Verbal or written communication generated by the Controller, directed to the Data Subject for the Processing of their personal data, by which they are informed about the existence of the Processing policies that will apply to them, the way to access them, and the purposes of the Processing intended for the personal data.”
Authorization: “The prior, express, and informed consent of the Data Subject to carry out the Processing of personal data.” Authorization may also be considered as any unequivocal conduct carried out by the Data Subject before the Controller, in accordance with Article 7 of Decree 1377 of 2013.
Database: “An organized set of personal data that is subject to Processing.”
Personal Data: “Any information linked or that can be associated with one or more determined or determinable natural persons.” Personal Data should therefore be understood as information related to a natural person (an individually considered person).
Public Data: “Data that is not semi-private, private, or sensitive. Public data includes, among others, data relating to the civil status of persons, their profession or trade, and their quality as a merchant or public servant. By their nature, public data may be contained, among others, in public records, public documents, gazettes, and official bulletins, and duly enforceable judicial rulings not subject to confidentiality.” It will also be understood that all data contained in public records will have this same nature.
Semi-private Data: “Semi-private data is that which is not intimate, reserved, or public in nature, and whose knowledge or disclosure may be of interest not only to its Holder but also to a certain sector or group of persons or to GALAVANTA TRAVEL in general, such as financial and credit data regarding commercial or service activity as referred to in Title IV of Law 1266 of 2008.”
Private Data: “Data that, by its intimate or reserved nature, is only relevant to the Holder.”
Sensitive Data: “Data that affect the privacy of the Data Subject or whose improper use may lead to discrimination, such as those revealing racial or ethnic origin, political orientation, religious or philosophical beliefs, membership in trade unions, social organizations, human rights organizations, or those that promote the interests of any political party or ensure the rights and guarantees of opposition political parties, as well as data relating to health, sexual life, and biometric data,” among others of the same nature.
Processor: “A natural or legal person, public or private, who, by themselves or in association with others, carries out the Processing of personal data on behalf of the Controller.” In this case, GALAVANTA TRAVEL acts as a Processor of personal data in cases where, by itself or in association with others, it processes personal data on behalf of a Controller.
Controller: “A natural or legal person, public or private, who, by themselves or in association with others, decides on the database and/or the Processing of the data.” In this case, GALAVANTA TRAVEL acts as Controller of personal data with respect to all personal data over which it decides directly, in compliance with its functions.
Holder: “A natural person whose personal data are subject to Processing,” who may be:
- Holder, who must sufficiently prove their identity by the different means made available by the Controller.
- Successors, who must prove such status.
- Representative and/or attorney of the Holder, with prior accreditation of representation or power of attorney.
- By stipulation in favor of another or for another.
Transfer: “A transfer of data occurs when the Controller and/or Processor of personal data, located in Colombia, sends the information or personal data to a recipient who is also a Controller of the Processing and is located within or outside the country.”
Transmission: “Processing of personal data that involves the communication thereof within or outside the territory of the Republic of Colombia when its purpose is the execution of Processing by the Processor on behalf of the Controller.”
Processing: “Any operation or set of operations on personal data such as collection, storage, use, circulation, or deletion.” This will apply exclusively to natural persons.
Image Processing: “The Processing of personal data has been defined as any operation or set of operations on personal data, such as collection, storage, use, circulation, or deletion. In the case of images of identified or identifiable persons, operations such as capturing, recording, transmitting, storing, conserving, or reproducing in real-time or later, among others, are considered Processing of personal data and, consequently, are subject to the General Regime of Personal Data Protection.”
Data Protection Officer: This is the person within GALAVANTA TRAVEL who is responsible for overseeing and controlling the application of the Personal Data Protection Policy, under the guidance and guidelines of the Information Security Committee. The Information Security Committee will appoint the Data Protection Officer. This definition refers to a role or function to be performed by an officer designated by GALAVANTA TRAVEL.

LEGAL PRINCIPLES FOR THE PROCESSING OF PERSONAL DATA

In order to comply with the Personal Data Protection Policy, as well as with the obligations set forth by Law 1581 of 2012 and its regulatory decrees, the principles governing the Processing of Personal Data must be taken into account, as follows:

Restricted Access and Circulation:
“Processing is subject to the limits derived from the nature of personal data, from the provisions of Law 1581 of 2012 and the Constitution. In this sense, Processing may only be carried out by persons authorized by the Data Subject and/or by the persons provided for in this law. Personal data, except for public information, may not be available on the Internet or other mass communication or disclosure media, unless access is technically controllable to provide restricted knowledge only to the Data Subjects or third parties authorized in accordance with this law.”

The data used by GALAVANTA TRAVEL will have the legal, organizational, and technical measures possible and necessary that allow restricted access and circulation in accordance with the nature of the data (public, semi-private, private, sensitive, or of minors) and with the authorizations given by the Data Subject or other persons provided for by law.

Confidentiality:
“All persons involved in the Processing of personal data that are not public in nature are obliged to guarantee the confidentiality of the information, even after their relationship with any of the tasks comprising the Processing has ended, and may only provide or communicate personal data when it corresponds to the development of activities authorized in this law and under the terms thereof.”

Based on this definition, confidentiality of the data is guaranteed depending on their nature. Therefore, GALAVANTA TRAVEL will maintain confidentiality of the information during and after the activities that justify the Processing of personal data.

Purpose:
“Processing must have a legitimate purpose in accordance with the Constitution and the Law, which must be informed to the Data Subject.”

In all cases, the purpose will be legitimate, informed, temporary, and material. The purpose corresponds to the functions or activities of GALAVANTA TRAVEL that allow the full development of its corporate purpose, for which it will request prior, express, and informed authorization from the Data Subject for the Processing of personal data, exclusively when dealing with data other than those of a public nature.

Legality in Data Processing:
“The Processing referred to by Law 1581 of 2012 is a regulated activity that must adhere to what is established therein and in the other provisions that develop it.”

The data that GALAVANTA TRAVEL processes or will process will comply with legitimate purposes and subject to Law 1581 of 2012.

Freedom:
“Processing may only be exercised with the prior, express, and informed consent of the Data Subject. Personal data may not be obtained or disclosed without prior authorization, or in the absence of a legal or judicial mandate that relieves consent.”

GALAVANTA TRAVEL guarantees the right to informational self-determination of the Data Subjects who provide personal data and will always consider their consent before any Processing.

Security:
“The information subject to Processing by the Controller or the Processor referred to in this law must be handled with the technical, human, and administrative measures necessary to provide security to the records, preventing their adulteration, loss, consultation, unauthorized or fraudulent use, or access.”

GALAVANTA TRAVEL guarantees the definition and implementation of the technical, human, and administrative measures necessary to prevent adulteration, loss, consultation, unauthorized or fraudulent use, or access of the databases under its control.

Transparency:
“Processing must guarantee the right of the Data Subject to obtain from the Controller or the Processor, at any time and without restrictions, information about the existence of data concerning them.”

GALAVANTA TRAVEL guarantees Data Subjects the right of access and knowledge of the personal information being processed in accordance with the provisions of Regulatory Decree 1377 of 2013.

Accuracy or Quality:
“The information subject to Processing must be truthful, complete, accurate, up-to-date, verifiable, and understandable. Processing of partial, incomplete, fragmented data, or data that induces error is prohibited.”

GALAVANTA TRAVEL guarantees that the information stored in its databases will be truthful, complete, accurate, up-to-date, verifiable, and understandable. To comply with this principle, GALAVANTA TRAVEL will adopt the necessary measures to obtain from the Data Subject the information required to ensure compliance.

PROCESSING OF PERSONAL DATA
Processing of Public Data

In accordance with Article 10 of Law 1581 of 2012, the authorization of the Data Subject shall not be required when dealing with data of a public nature. Therefore, GALAVANTA TRAVEL notes that it processes public personal data without prior authorization from the Data Subject. However, this situation does not imply that the necessary measures will not be adopted to guarantee compliance with the other principles and obligations contemplated by law.

Processing of Sensitive Data

GALAVANTA TRAVEL, in exercise of Article 6 of Law 1581 of 2012, will process sensitive data in the following cases:

a) The Data Subject has given their explicit authorization for such Processing, except in cases where the law does not require such authorization.
b) Processing is necessary to safeguard the vital interest of the Data Subject and the Data Subject is physically or legally incapable. In such events, legal representatives shall grant authorization.
c) Processing is carried out in the course of legitimate activities and with the necessary guarantees by a foundation, NGO, association, or any other non-profit organization whose purpose is political, philosophical, religious, or trade union-related, provided that the data refer exclusively to their members or persons who maintain regular contact due to such purpose. In these events, the data may not be supplied to third parties without the authorization of the Data Subject.
d) Processing refers to data that are necessary for the recognition, exercise, or defense of a right in a judicial process.
e) Processing has a historical, statistical, or scientific purpose. In this case, measures must be adopted to suppress the identity of the Data Subjects.
f) Finally, in cases where the data are dissociated, that is, sensitive data are separated from the identity of the Data Subject and are not identifiable or it is not possible to identify the Data Subject of the sensitive data.

In addition, GALAVANTA TRAVEL will comply with the following obligations:

Inform the Data Subject that, since the data are sensitive, they are not obliged to authorize their Processing.
Inform the Data Subject explicitly and in advance, in addition to the general requirements of authorization for the collection of any type of personal data, which of the data to be processed are of a sensitive nature and the purpose of the Processing, and obtain express consent.
Not condition any activity on the Data Subject providing sensitive personal data (unless there is a legal or contractual cause to do so).

Processing of Minors’ Data

GALAVANTA TRAVEL will only process personal data of minors when such data are of a public nature or come from information provided by their parents, guardians, legal representatives, employees, or contractors at the time of their employment or service relationship with GALAVANTA TRAVEL. The above in accordance with Article 7 of Law 1581 of 2012, and when the Processing meets the following parameters and requirements:

That it responds to and respects the best interests of children and adolescents.
ii. That their fundamental rights are respected.

Once these requirements are met, GALAVANTA TRAVEL will require the authorization of the legal representative or guardian of the child or adolescent, prior to the minor expressing their opinion regarding the Processing of their data. Such opinion will be evaluated taking into account the maturity, autonomy, and capacity to understand the matter, as indicated by law.

GALAVANTA TRAVEL and any person involved in the Processing of personal data of children and adolescents will ensure the appropriate use of such data. In compliance with the above, the principles and obligations established in Law 1581 of 2012, Decree 1377 of 2013, and other rules regulating this matter, as well as the Political Constitution of Colombia, shall apply and be developed.

Classification of Databases

GALAVANTA TRAVEL has classified its Databases containing personal information as follows:

Human Resources: Manual and/or automated databases containing data collected for the hiring of staff and collaborators.
Logistics: Manual and/or automated databases containing data collected to provide all services and products offered to clients.
Sales: Manual and/or automated databases containing data collected to market and offer tourist services at national or international fairs, with other travel agencies, national or international representatives, and the website.

PREROGATIVES AND RIGHTS OF THE DATA SUBJECTS

GALAVANTA TRAVEL recognizes and guarantees the following fundamental rights to the Data Subjects of personal data:

Access, know, update, and rectify their personal data held by GALAVANTA TRAVEL in its role as Controller of personal data Processing.
Request proof of the existence of the authorization granted to GALAVANTA TRAVEL, except in cases where the law exempts such authorization.
Receive information from GALAVANTA TRAVEL, upon request, regarding the use given to their personal data.
File complaints for violations of the provisions of current regulations before the Superintendence of Industry and Commerce (SIC).
Modify and revoke authorization and/or request the deletion of personal data when the Processing does not respect the principles, rights, and constitutional and legal guarantees in force. The Data Subject may also revoke authorization and request the deletion of the data when there is no legal or contractual obligation requiring them to remain in the corresponding database.
Have knowledge of and access, free of charge, to their personal data that have been subject to Processing.

This Manual, in the following sections, defines the procedures implemented to guarantee these rights.

3.1 Main Purposes

Carry out tourism-related commercial activities for both foreign and Colombian travelers, such as, without limitation:

Design travel itineraries in Colombia and abroad.
Organize the logistics of each travel itinerary, including hotel reservations, coordination of private transportation, organization of activities, and restaurant bookings.
Provide assistance to tourists during their stay in Colombia and abroad.

DUTIES OF GALAVANTA TRAVEL IN RELATION TO THE PROCESSING OF PERSONAL DATA

GALAVANTA TRAVEL is aware that personal data are the property of the individuals to whom they refer, and only they can decide on them. Likewise, GALAVANTA TRAVEL will use such data solely for the purposes for which it is duly authorized by the Data Subject or by law, and at all times respects the current regulations on the Protection of Personal Data.

“In the event that the roles of Controller and Processor coincide in the same person, compliance with the duties provided for each shall be required.”

As Controller of the Processing of personal data, GALAVANTA TRAVEL complies with the duties and obligations provided in Article 17 of Law 1581 of 2012, and rules that regulate or amend it, namely:

a) Guarantee the Data Subject, at all times, the full and effective exercise of the right of habeas data.
b) Request and keep, under the conditions provided in Law 1581 of 2012, a copy of the respective authorization granted by the Data Subject.
c) Properly inform the Data Subject about the purpose of the collection and the rights granted by virtue of the authorization.
d) Keep the information under the necessary security conditions to prevent its adulteration, loss, consultation, unauthorized or fraudulent use, or access.
e) Guarantee that the information provided to the Processor is truthful, complete, accurate, updated, verifiable, and understandable.
f) Update the information, promptly notifying the Processor of all developments regarding the data previously provided, and adopt other measures necessary to ensure that the information provided to the Processor remains updated.
g) Rectify the information when it is incorrect and inform the Processor of the correction.
h) Provide the Processor, as applicable, only with data whose Processing has been previously authorized in accordance with this law.
i) Demand that the Processor, at all times, respect the security and privacy conditions of the Data Subject’s information.
j) Address queries and claims submitted within the timeframes set forth in this law.
k) Adopt an internal Manual of policies and procedures to ensure proper compliance with this law, particularly regarding the handling of queries and claims.
l) Inform the Processor when certain information is under discussion by the Data Subject, once the claim has been filed and the process has not yet concluded.
m) Inform the Data Subject, upon request, about the use given to their data.
n) Inform the data protection authority (Superintendence of Industry and Commerce – Data Protection Delegation) when security codes are violated and there are risks in the administration of Data Subjects’ information.
o) Comply with the instructions and requirements issued by the Superintendence of Industry and Commerce.

As Processor of personal data, GALAVANTA TRAVEL complies with the duties and obligations set forth in Article 18 of Law 1581 of 2012, and the rules that regulate or amend it, namely:

a) Guarantee the Data Subject, at all times, the full and effective exercise of the right of habeas data.
b) Keep the information under the necessary security conditions to prevent its adulteration, loss, consultation, unauthorized or fraudulent use, or access.
c) Carry out, in a timely manner, the updating, rectification, or deletion of the data within the terms of this law.
d) Update the information reported by the Controllers within five (5) business days from receipt.
e) Handle queries and claims submitted by the Data Subjects within the timeframes established in this law.
f) Adopt an internal manual of policies and procedures to ensure proper compliance with this law, particularly for handling queries and claims from Data Subjects.
g) Record in the database the legend “claim in process” in the manner regulated by this law.
h) Insert in the database the legend “information under judicial discussion” once notified by the competent authority about judicial processes related to the quality of personal data.
i) Refrain from circulating information being disputed by the Data Subject and whose blocking has been ordered by the Superintendence of Industry and Commerce.
j) Allow access to the information only to those who are authorized.
k) Inform the Superintendence of Industry and Commerce when violations of security codes occur and when risks exist in the administration of Data Subjects’ information.
l) Comply with the instructions and requirements issued by the Superintendence of Industry and Commerce.

GENERAL APPLICABLE RULES

GALAVANTA TRAVEL has established the following general rules for the protection of personal, sensitive, and minors’ data, such as the safeguarding of databases, electronic files, and personal information:

GALAVANTA TRAVEL guarantees the authenticity, confidentiality, and integrity of the personal data information under its responsibility.
GALAVANTA TRAVEL is the entity that designs and executes the strategy for compliance with this Manual. It has adopted all necessary and possible technical measures to ensure the protection and control of the existing databases under its control.
In cases where the infrastructure depends on a third party, GALAVANTA TRAVEL will ensure that both the availability of the information and the safeguarding of personal, sensitive, and minors’ data remain a fundamental objective. Thus, communications will be sent via email to these third parties, requiring them to adopt the necessary care measures for the protection of personal data, especially if involving children’s sensitive data.
GALAVANTA TRAVEL will carry out periodic audits and controls to ensure proper implementation of Law 1581 of 2012 and its regulatory decrees. This may be formalized by the signing of minutes, reports, or electronic communications documenting the corresponding periodic reviews. Reviews will take place every six months.
It is the responsibility of GALAVANTA TRAVEL’s employees to immediately report to the Superintendence of Industry and Commerce – Data Protection Delegation – any incident of information leakage, computer damage, personal data violations, commercialization of data, use of children’s or adolescents’ personal data, identity theft, security incidents, violations of security codes, or any type of conduct that may infringe upon a person’s privacy or result in any type of discrimination.
Training and education of employees, suppliers, and contractors will be a duty and a fundamental component of this Manual.
GALAVANTA TRAVEL must identify and implement Data Subjects’ authorizations, privacy notices, notices on the website, notices on bulletin boards, awareness campaigns, claim legends, and other procedures to ensure compliance with Law 1581 of 2012 and other complementary regulations.
In the sections of this document where a particular law or regulation is mentioned, it is understood that, regardless of amendments or repeals to such law, it will not be necessary to amend this document unless the new regulation establishes provisions contrary to what is set forth herein.
With respect to Image Processing, the general rules described here will apply, particularly concerning the rights of Data Subjects.

DUTY OF SECRECY AND CONFIDENTIALITY

GALAVANTA TRAVEL guarantees and requires every person involved at any stage of the Processing of private, sensitive, or minors’ personal data, whether carried out or to be carried out, to maintain professional secrecy regarding such data and to safeguard them. These obligations will continue even after their contractual relationship with GALAVANTA TRAVEL has ended.

INFORMATION PROCESSING POLICIES
RIGHT TO AUTHORIZATION

When dealing with data other than those of a public nature, or those defined in numeral 2 of Article 3 of Regulatory Decree 1377 of 2013, GALAVANTA TRAVEL will request prior, express, and informed authorization for the Processing of personal data by any means that may later serve as proof. Depending on the case, such authorization may be part of a broader document (e.g., contract, contract clauses, notices, signs) or a specific document (form, addendum, annex, etc.).

In the case of personal data of natural persons, the description of the purpose of Processing will be included in the specific document or information will be provided on where such purpose is available. GALAVANTA TRAVEL will inform the Data Subject of the following:

The Processing to which their personal data will be subjected and its specific purpose.
The time period during which their personal data will be processed, in accordance with GALAVANTA TRAVEL’s retention schedules.
The rights that assist them as Data Subject.
Who is responsible for the Processing.
The website, email, physical address, and other communication channels through which they may submit queries and/or claims to the Controller or Processor.

RIGHT OF ACCESS OR CONSULTATION

The Data Subject of personal data may access or consult the personal information contained in any database of GALAVANTA TRAVEL. Consequently, GALAVANTA TRAVEL guarantees the right of consultation in accordance with Law 1581 of 2012 and its complementary norms, exclusively regarding personal, sensitive, or minors’ data of natural persons, providing the Data Subjects with the information contained in each of our databases.

This right applies only to Data Subjects of personal data recognized by the current legislation, upon proof of their identity as the Holder. The information will be made available to them in detail and free of charge, by any means of communication, including electronic means, that allow direct access by the Data Subject. Such access is subject to the limits established in Article 21 of Regulatory Decree 1377 of 2013.

GALAVANTA TRAVEL will establish authentication measures to securely identify the Data Subject of the personal data making the consultation or request.

Regarding the handling of personal data consultation requests, GALAVANTA TRAVEL guarantees:

Enable electronic communication channels or other relevant and secure means.
Establish forms, systems, and other methods to be indicated in the Privacy Notice.
Use customer service or claims services already in operation.

Data Subjects may consult their personal information contained in GALAVANTA TRAVEL’s database by submitting a request via email to: alexis@galavanta.com. Once the case is analyzed, the Data Protection Officer will contact the requester and request any additional necessary information.

All requests for consultation will be handled within a maximum period of ten (10) business days from the date of receipt. If a request cannot be handled within the aforementioned period, the interested party will be informed before the deadline expires, with reasons for the delay, and the response will be provided within an additional five (5) business days.

RIGHT TO FILE CLAIMS

The Data Subject who considers that the information contained in a database of GALAVANTA TRAVEL should be corrected, updated, or deleted, or when they notice alleged breach of any of the duties contained in Law 1581 of 2012 or other applicable regulations, may file a claim with GALAVANTA TRAVEL, which will be processed under the following rules:

The claim will be made through a request addressed to GALAVANTA TRAVEL by email: alexis@galavanta.com with the identification of the Data Subject, a description of the facts giving rise to the claim, the address, and accompanying documents intended to be asserted. If the claim is incomplete, the interested party will be required within five (5) days following its receipt to correct the deficiencies. After two (2) months from the date of the request, without the applicant submitting the required information, the claim will be deemed withdrawn.
If the person receiving the claim is not competent to resolve it, they will transfer it to the appropriate party within a maximum period of two (2) business days and inform the Data Subject of the situation.
Once the complete claim has been received, a note will be included in the database stating “claim in process” and the reason for it, within a period not exceeding two (2) business days. Such note must be maintained until the claim is resolved.
The maximum term to address the claim will be fifteen (15) business days from the day following the date of receipt. When it is not possible to address the claim within said period, the interested party will be informed of the reasons for the delay and the date on which the claim will be addressed, which may not exceed eight (8) business days following the expiration of the first term.

RIGHT TO RECTIFICATION AND UPDATING OF DATA

GALAVANTA TRAVEL has the obligation to rectify and update, at the request of the Data Subject, information that is partial, inaccurate, incomplete, fragmented, misleading, or whose Processing is expressly prohibited or has not been authorized.

In processing requests for rectification, GALAVANTA TRAVEL will apply the procedures established in numeral 3.6 of Article 16 of Decree 1377 of 2013, and the following will be taken into account:

The Data Subject must indicate the corrections to be made and provide documentation supporting their request.
GALAVANTA TRAVEL has full freedom to enable mechanisms that facilitate the exercise of this right, as long as they benefit the Data Subject. Therefore, electronic or other means it deems pertinent may be enabled.

RIGHT TO DELETION OF DATA

The Data Subject has the right, at all times, to request GALAVANTA TRAVEL to delete (eliminate) their personal data when:

They consider that the data are not being treated in accordance with the principles, duties, and obligations provided by Law 1581 of 2012.
They are no longer necessary or relevant for the purpose for which they were collected.
The period necessary to fulfill the purposes for which the data were collected has ended.

This deletion implies the total or partial elimination of personal information, in accordance with what is requested by the Data Subject, from the databases of GALAVANTA TRAVEL.

It is important to note that the right of deletion is not absolute. GALAVANTA TRAVEL may deny it when:

The Data Subject has a legal or contractual duty to remain in the database.
Deletion of data hinders judicial or administrative proceedings linked to tax obligations, the investigation and prosecution of crimes, or the updating of administrative sanctions.
The data are necessary to protect the legally protected interests of the Data Subject, to carry out an action in the public interest, or to comply with an obligation legally acquired by the Data Subject.

RIGHT TO REVOKE AUTHORIZATION

The Data Subjects of personal data may revoke the authorization granted to GALAVANTA TRAVEL at any time, provided there is no legal or contractual impediment.

The revocation may be total, regarding all purposes consented to, or partial, regarding certain types of Processing. Therefore, the Data Subject must indicate whether the revocation is total or partial.

In cases where the revocation is partial, GALAVANTA TRAVEL may continue Processing personal data for the purposes not revoked, under the authorization granted.

PROCEDURE TO EXERCISE THE RIGHTS

The rights of access, updating, rectification, deletion, and revocation of authorization by the Data Subjects may be exercised through the following mechanisms enabled by GALAVANTA TRAVEL:

By email to: alexis@galavanta.com
By written communication sent to the offices of GALAVANTA TRAVEL located at: Calle Segunda de Badillo #36-149, Floor 2, Barrio Centro, Cartagena, Bolívar, Colombia.

For security and confidentiality reasons, requests may only be processed by the Data Subject, their legal representative, or duly accredited attorney.

The request must contain at least:

Full identification of the Data Subject (full name, ID number, address, and contact details).
A clear and precise description of the request being made (access, updating, rectification, deletion, or revocation).
The documents supporting the request, when necessary.

Once the request is received, the Data Protection Officer of GALAVANTA TRAVEL will process it in accordance with the terms established by law and this Manual.

DUTIES OF GALAVANTA TRAVEL REGARDING THE RIGHTS OF DATA SUBJECTS

In order to guarantee the rights of the Data Subjects, GALAVANTA TRAVEL assumes the following duties:

Enable the necessary communication channels for Data Subjects to exercise their rights.
Ensure that the procedures for requests, consultations, and claims are easily accessible and understandable.
Train staff so that they are able to provide adequate assistance to Data Subjects regarding their rights.
Implement appropriate security measures to safeguard personal data.
Inform the Data Subjects about the existence of this Manual and how to access it.

DATA PROTECTION IN CONTRACTS

Contracts entered into by GALAVANTA TRAVEL with suppliers, contractors, employees, or any third party that involves the Processing of personal data must contain clauses guaranteeing compliance with the personal data protection regime in force in Colombia.

These clauses must include, among others:

The obligation of the contracting party to process personal data in accordance with the principles and rules established in Law 1581 of 2012, its regulatory decrees, and this Manual.
The duty of confidentiality and secrecy regarding the personal data accessed during the contractual relationship, which will extend even after the contract has ended.
The obligation to adopt the necessary technical, human, and administrative measures to ensure the security of the personal data processed.
The obligation to inform GALAVANTA TRAVEL of any incident that compromises the security of the personal data processed.
The obligation to return or delete the personal data once the contractual relationship has ended, unless there is a legal obligation to preserve them.

TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES

In compliance with the provisions of Article 26 of Law 1581 of 2012, the transfer of personal data of any type to countries that do not provide adequate levels of data protection is prohibited.

Adequate levels of protection are understood as those established by the Superintendence of Industry and Commerce.

This prohibition will not apply in the following cases:

a) Information with respect to which the Data Subject has given their express and unequivocal authorization for the transfer.
b) Exchange of medical data, when required by the Data Subject’s treatment for health or public hygiene reasons.
c) Bank or stock transfers, in accordance with the applicable legislation.
d) Transfers agreed upon within the framework of international treaties to which the Republic of Colombia is a party, based on the principle of reciprocity.
e) Transfers necessary for the execution of a contract between the Data Subject and the Controller, or the execution of pre-contractual measures provided that the Data Subject’s authorization is obtained.
f) Transfers legally required for the safeguarding of the public interest or for the recognition, exercise, or defense of a right in judicial proceedings.

In cases not considered as exceptions, it will be the responsibility of the Superintendence of Industry and Commerce to issue the statement regarding whether the country to which the transfer is intended provides adequate levels of data protection.

THE ROLE OF PERSONAL DATA PROTECTION WITHIN GALAVANTA TRAVEL

GALAVANTA TRAVEL will appoint a Data Protection Officer, who will be responsible for ensuring effective compliance with data protection regulations, this Manual, and internal policies.

The functions of the Data Protection Officer include, but are not limited to:

Promote and monitor compliance with this Manual and with the applicable legislation on personal data protection.
Serve as a liaison between GALAVANTA TRAVEL and the Superintendence of Industry and Commerce in matters related to personal data.
Manage requests, consultations, and claims submitted by Data Subjects in relation to their personal data.
Train employees, suppliers, and contractors on data protection issues.
Supervise the adoption of technical, human, and administrative measures necessary to ensure the security of personal data.
Keep the senior management of GALAVANTA TRAVEL informed about compliance with data protection matters.

The Data Protection Officer will act with autonomy and independence in the exercise of their functions and will have the support of the different areas of GALAVANTA TRAVEL to carry out their duties.

THE NATIONAL REGISTRY OF DATABASES – RNBD

GALAVANTA TRAVEL, in its capacity as Controller of personal data, will proceed to register its databases before the National Registry of Databases (RNBD) administered by the Superintendence of Industry and Commerce, in accordance with the terms and conditions established by law and the competent authority.

The information reported to the RNBD will be updated in the following cases:

When substantial modifications are made to the information registered.
Annually, between January 2 and March 31 of each year.

REFERENCE TO OTHER DOCUMENTS

This Manual is complemented by the following documents that form part of the personal data protection system of GALAVANTA TRAVEL:

Privacy Notice.
Authorization for the Processing of Personal Data.
Information Security Policy.
Internal Procedures for Handling Queries and Claims.

These documents, together with this Manual, constitute the regulatory framework adopted by GALAVANTA TRAVEL for compliance with the personal data protection regime.

INFORMATION SECURITY

GALAVANTA TRAVEL will adopt the technical, human, and administrative measures necessary to ensure the security of the personal data processed, preventing their adulteration, loss, consultation, unauthorized or fraudulent use, or access.

To this end, GALAVANTA TRAVEL will implement, among others, the following measures:

Establishment of restricted access levels to personal data, depending on the type of data and the function performed by the person accessing them.
Use of technological tools that allow monitoring and control of access to personal data.
Training of employees and contractors on the importance of information security and data protection.
Periodic evaluations of the effectiveness of the security measures adopted.

The Information Security Policy of GALAVANTA TRAVEL will be an integral part of this Manual and must be complied with by all employees, contractors, and suppliers.

UPDATES TO THE MANUAL

This Manual may be updated or modified by GALAVANTA TRAVEL at any time, in order to adapt it to new legal requirements, internal policies, or needs related to the protection of personal data.

Any modification or update to this Manual will be communicated to the Data Subjects in an appropriate and effective manner, through the mechanisms that GALAVANTA TRAVEL has established for this purpose (email, website, physical communications, among others).

VALIDITY

This Manual of Policies and Procedures for the Processing and Protection of Personal Data of GALAVANTA TRAVEL S.A.S enters into force on the date of its publication and will remain valid indefinitely, as long as there are no modifications or updates approved by GALAVANTA TRAVEL.

Protección de datos

INTRODUCCIÓN

La organización “GALAVANTA TRAVEL S.A.S” (GALAVANTA TRAVEL) en cumplimiento con lo dispuesto en el Artículo 15 de la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, y en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, Decreto 1574 de 2015, Decreto 090 de 2018, así como sus normas reglamentarias y complementarias, declara que el objeto del presente Manual, es proteger el “derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales, así como el derecho a la información consagrado en el artículo 20 de la Constitución Política ”.

De esta manera, GALAVANTA TRAVEL a través del presente documento, “tomará todas las medidas de seguridad razonables para garantizar que la información personal contenida en las bases de datos que administra, sea suministrada, únicamente, a los titulares, a las personas debidamente autorizadas por estos, a sus causahabientes o cualquier otro Titular reconocido por ley” asimismo, garantizará en todo momento los derechos fundamentales a la intimidad, el buen nombre y la privacidad de las personas naturales, razón por la cual adopta y aplica el presente Manual de Políticas y Procedimientos de Protección de Datos Personales.

Para GALAVANTA TRAVEL, la eficacia en la administración de la información y el acceso a canales de comunicación veraces, se encuentran dentro de sus prioridades en la regulación, no sólo frente a su equipo de colaboradores, sino también frente a sus proveedores, contratistas, beneficiarios y demás actores que permiten el desarrollo de nuestro propósito, incluidos nuestros socios nacionales y extranjeros. Por lo tanto, este Manual le permite conocer a cada uno de los miembros internos y externos o colectivos que hacen parte de GALAVANTA TRAVEL o tienen alguna relación civil o comercial con nosotros, los derechos y obligaciones que la Ley 1581 de 2012 y las normas complementarias han desarrollado, garantizado y establecido para los Titulares de la información de carácter personal.

GALAVANTA TRAVEL en cumplimiento de las normas colombianas que sobre Protección de Datos Personales regulan su tratamiento, ha decidido adoptar el presente Manual, el cual establece las condiciones, obligaciones de los implicados e intervinientes en el Tratamiento y uso de la información de carácter personal, régimen de funcionamiento, y procedimientos aplicables al tratamiento de datos personales que en el desarrollo de las actividades propias de nuestro objeto social tenga que solicitar, utilizar, almacenar, corregir, ceder, suprimir o tratar información de carácter personal1.

Lo anterior ha sido resuelto, con el fin de dar pleno cumplimiento a lo dispuesto por el artículo 15 de la Constitución Política de Colombia y la Ley 1581 de 2012, así como las demás normas que reglamentan y complementan el Tratamiento para la Protección de Datos Personales2 en Colombia.

Se hace saber a todos que GALAVANTA TRAVEL es el responsable del Tratamiento de Datos Personales y en cumplimiento a lo establecido en el Decreto Reglamentario 1377 de 2013, adopta y hace público a todos los interesados el presente Manual que contiene todos los elementos esenciales, sencillos y seguros para el cumplimiento con la legislación correspondiente a la Protección de Datos Personales en Colombia. Asimismo, el presente Manual servirá como material pedagógico para todos los miembros, sectores o colectivos de interés que sostengan algún tipo de relación con GALAVANTA TRAVEL de manera directa o indirecta, contribuyendo al correcto conocimiento del derecho fundamental a la Protección de Datos Personales y demás Derechos conexos.

MANUAL DE POLÍTICAS Y PROCEDIMIENTO PARA EL TRATAMIENTO Y PROTECCION DE DATOS PERSONALES DE GALAVANTA TRAVEL S.A.S

En cumplimiento de lo dispuesto en el artículo 133 del Decreto Reglamentario 1377 de 2013, se realizan las siguientes notas:

GALAVANTA TRAVEL SE DECLARA RESPONSABLE DEL PRESENTE MANUAL Y DEL TRATAMIENTO DE PROTECCIÓN DE DATOS QUE EN EL EJERCICIO DE SUS FUNCIONES DESARROLLE FRENTE A LAS PERSONAS NATURALES TITULARES DE DATOS DE CARÁCTER PERSONAL, POR LO ANTERIOR, SE IDENTIFICA LO SIGUIENTE:

RAZÓN SOCIAL: GALAVANTA TRAVEL S.A.S.

NIT: 900963038-6

DOMICILIO: CALLE SEGUNDA DE BADILLO # 36-149, PISO 2, BRR CENTRO. CARTAGENA, BOLIVAR, COLOMBIA.

TELÉFONO: (605) 6648654.

CORREO ELECTRÓNICO: alexis@galavanta.com

RESPONSABLE: Oficial de Protección de Datos de GALAVANTA TRAVEL.

GALAVANTA TRAVEL ha designado al Oficial de Protección de Datos, el cual tendrá a cargo la responsabilidad en el tratamiento de datos, así como de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. Esta información será desarrollada a profundidad en un posterior aparte de este Manual.

La presente política es aplicable para todos los procedimientos internos y externos de GALAVANTA TRAVEL, donde se capturen datos personales de terceros (personas naturales).

0. DEFINICIONES

Según la Ley 1581 de 2012 y el Decreto 1377 de 2913, se establecen las siguientes definiciones que serán aplicadas e implementadas acogiendo los criterios de interpretación que garanticen una aplicación sistemática e integral, teniendo en cuenta los avances tecnológicos:

Aviso de privacidad: “comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales”4.

Autorización: “consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de los datos personales”5. También se considera que la autorización puede ser mediante cualquier conducta inequívoca que el titular de sus datos realice frente al responsable del tratamiento, de conformidad con el artículo 7 del Decreto 1377 de 2013.

Base de datos: “conjunto organizado de datos personales que sean objeto de Tratamiento”6.

Dato personal: “cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables”7. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).

Dato público: “es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva”8. También se entenderá que todos los datos que estén contenidos en los registros públicos tendrán esta misma naturaleza.

Dato semiprivado: “es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a GALAVANTA TRAVEL en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV”9 de la Ley 1266 de 2008.

Dato privado: “es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular”10.

Dato sensible: “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”11, entre otros de la misma naturaleza.

Encargado del Tratamiento: “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento”12. En este caso, GALAVANTA TRAVEL actúa como encargado del tratamiento de datos personales en los casos, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta de un responsable.

Responsable del Tratamiento: “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos”13. En este caso, GALAVANTA TRAVEL actúa como responsable del tratamiento de datos personales frente a todos los datos personales sobre los cuales decida directamente, en cumplimiento de las funciones propias.

Titular: “persona natural cuyos datos personales sean objeto de tratamiento”14, los cuales podrán ser:

Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
Causahabientes, quienes deberán acreditar tal calidad.
Representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
Por estipulación a favor de otro o para otro.

Transferencia: “la transferencia de datos tiene lugar cuando el responsable y/o encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país”15.

Transmisión: “tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el encargado por cuenta del responsable”16.

Tratamiento: “cualquier operación o conjunto de operaciones sobre datos personales tales como la recolección, almacenamiento, uso, circulación o supresión”17. Lo anterior solo aplicará exclusivamente frente a personas naturales.

Tratamiento de Imágenes: “El Tratamiento de datos personales ha sido definido como “Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”. En el caso de las imágenes de personas determinadas o determinables, operaciones como la captación, grabación, transmisión, almacenamiento, conservación, o reproducción en tiempo real o posterior, entre otras, son consideradas como Tratamiento de datos personales y en consecuencia, se encuentran sujetas al Régimen General de Protección de Datos Personales”18.

Oficial de protección de datos: es la persona dentro de GALAVANTA TRAVEL, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales, bajo la orientación y lineamientos del Comité de Seguridad de la Información. El Comité de Seguridad de la Información designará al Oficial de Protección de Datos. La anterior definición hace referencia a un rol o función que debe desempeñar algún funcionario designado por GALAVANTA TRAVEL.

1. PRINCIPIOS LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES

Para dar cumplimiento a la Política de Protección de Datos Personales, como a las obligaciones impartidas por la Ley 1581 de 2012 y sus decretos reglamentarios, se debe tener en cuenta los principios que regulan el tratamiento de datos Personales, así:

Acceso y Circulación Restringida: “El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley.”

Los datos utilizados por GALAVANTA TRAVEL contarán con las medidas jurídicas, organizativas y técnicas posibles y necesarias que permitan el acceso y circulación restringida acorde con la naturaleza del dato (público, semiprivado, privado, sensible o de menores de edad) y con las autorizaciones dadas por el Titular o demás personas previstas en la Ley.

Confidencialidad: “Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma”.

Atendiendo a la anterior definición, se garantiza la confidencialidad de los datos dependiendo de la naturaleza de los mismos. Por lo tanto, GALAVANTA TRAVEL guardará reserva de la información durante y después de terminadas las actividades que justifican el Tratamiento de los datos personales.

Finalidad: “El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.”

En todos los casos la finalidad será legítima, informada, temporal y material. La finalidad corresponde a las funciones o actividades propias de GALAVANTA TRAVEL que permitan el pleno desarrollo del objeto social para lo cual solicitará la autorización previa, expresa e informada por parte del Titular para su Tratamiento de datos de carácter personal, exclusivamente, cuando se traten de datos diferentes a los de naturaleza pública.

Legalidad en materia de Tratamiento de datos: “El Tratamiento a que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen”.

Los datos que GALAVANTA TRAVEL trata o tratará cumplirán con los fines legítimos y sujetos a la Ley 1581 de 2012.

Libertad: “El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento”.

GALAVANTA TRAVEL garantiza el derecho a la autodeterminación informativa de los Titulares que suministren datos de carácter personal y tendrá siempre en cuenta su consentimiento ante cualquier tratamiento.

Seguridad: “La información sujeta a Tratamiento por el responsable del Tratamiento o encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

GALAVANTA TRAVEL garantiza la definición e implementación de medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de las bases de datos que se encuentren bajo su control.

Transparencia: “En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan”.

GALAVANTA TRAVEL garantiza a los Titulares de datos personales, el derecho de acceso y conocimiento de la información de carácter personal que este siendo tratada conforme a lo establecido por el Decreto Reglamentario 1377 de 2013.

Veracidad o Calidad: “La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error”.

GALAVANTA TRAVEL garantiza que la información almacenada en sus bases de datos será veraz, completa, exacta, actualizada, comprobable y comprensible. Para el cumplimiento de este principio, GALAVANTA TRAVEL adoptará las medidas pertinentes para obtener por parte del Titular la información necesaria que permita el cumplimiento de este principio.

2. TRATAMIENTO DE DATOS PERSONALES

a. Tratamiento de datos públicos

De acuerdo con lo dispuesto en el Artículo 10 de la Ley 1581 de 2012, la autorización del titular no será necesaria cuando se trate de datos de naturaleza pública, por lo anterior, GALAVANTA TRAVEL advierte que, trata sin previa autorización del titular, los datos personales de naturaleza pública, no obstante, esta situación no implica que no se adopten las medidas necesarias que garanticen el cumplimiento del resto de principios y obligaciones contempladas en la ley.

b. Tratamiento de datos sensibles

GALAVANTA TRAVEL, en ejercicio de lo dispuesto en el Artículo 6 de la Ley 1581 de 2012, realizará el tratamiento de datos sensibles en los siguientes casos:

“a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares”.

f) Finalmente, en los casos en los que el dato este disociado, es decir, el dato sensible sea separado de la identidad del Titular y no sea identificable o no se logre identificar a la persona Titular del dato o datos sensibles.

En adición, GALAVANTA TRAVEL cumplirá con las siguientes obligaciones:

Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento
Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de Tratamiento son de carácter sensible y la finalidad del Tratamiento, y obtener el consentimiento expreso.
No condicionar ninguna actividad a que el Titular suministre datos personales sensibles (salvo que exista una causa legal o contractual para hacerlo).

c. Tratamiento de datos de menores

GALAVANTA TRAVEL solo trata datos personales de menores de edad cuando estos sean de naturaleza pública o provengan de la información suministrada por sus padres, tutores, representantes legales, empleados o contratistas, al momento de su vinculación, laboral o de prestación de servicios con GALAVANTA TRAVEL. Lo anterior, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y, cuando el tratamiento cumpla con los siguientes parámetros y requisitos:

i. Que responda y respete el interés superior de los niños, niñas y adolescentes.

ii. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, GALAVANTA TRAVEL exigirá al representante legal o tutor del niño, niña o adolescente, la autorización de estos, previo a que el menor de su opinión frente al Tratamiento que se le dará a sus datos, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, tal como lo indica la Ley.

GALAVANTA TRAVEL y cualquier persona involucrada en el Tratamiento de los datos personales de niños, niñas y adolescentes, velaran por el uso adecuado de los mismos. En cumplimiento de lo anterior, se aplican y desarrollan los principios y obligaciones establecidas en la Ley 1581 de 2012 y el Decreto 1377 de 2013 y las demás normas que regulen esta materia y la Constitución Política de Colombia.

d. Clasificación de las bases de datos

GALAVANTA TRAVEL ha clasificado sus Bases de Datos con información de carácter personal de la siguiente manera:

Recursos Humanos: son las bases de datos manuales y/o automatizadas que contienen datos recogidos para la contratación del personal y colaboradores.

Logística: son las bases de datos manuales y/o automatizadas que contienen datos recogidos para proveer todos los servicios y productos ofertados a clientes.

Ventas: son las bases de datos manuales y/o automatizadas que contienen datos recogidos para comercializar y ofrecer los servicios turísticos en ferias nacionales o internacionales, con otras agencias de turismo, representantes nacionales o internacionales y la página web.

3. PRERROGATIVAS Y DERECHOS DE LOS TITULARES

GALAVANTA TRAVEL reconoce y garantiza a los Titulares de los datos personales los siguientes derechos fundamentales:

Acceder, conocer, actualizar y rectificar sus datos personales frente a GALAVANTA TRAVEL en su condición de responsable del Tratamiento de datos personales.
Solicitar prueba de la existencia de la autorización otorgada a GALAVANTA TRAVEL, salvo los casos en los que la Ley exceptúa la autorización.
Recibir información por parte de GALAVANTA TRAVEL, previa solicitud, respecto del uso que les ha dado a sus datos personales.
Presentar quejas por infracciones a lo dispuesto en la normatividad vigente ante la Superintendencia de Industria y Comercio (SIC).
Modificar y revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes. El Titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos.
Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

El presente Manual, en las siguientes secciones, define los procedimientos implementados para garantizar estos derechos.

3.1. Finalidades principales

Realizar actividades comerciales turísticas para viajeros extranjeros y colombianos, tales como y sin excluir otras:

Diseñar itinerarios de viajes en Colombia y en el exterior.
Organizar la logística de cada itinerario de viaje, incluyendo reserva de hoteles, coordinación de transporte privado, organización de actividades y reservaciones en restaurantes.
Atención a los turistas durante su estadía en Colombia y en el exterior.

4. DEBERES DE GALAVANTA TRAVEL EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES

GALAVANTA TRAVEL es consciente que los datos personales son de propiedad de las personas a las que se refieren y solamente ellas pueden decidir sobre los mismos. Asimismo, GALAVANTA TRAVEL hará uso de dichos datos, solamente en cumplimiento de las finalidades para las que se encuentra debidamente facultado y autorizado previamente por el Titular, o por la Ley y, en todo momento respeta la normativa vigente sobre Protección de Datos Personales.

“En el evento en que concurran las calidades de responsable del Tratamiento y encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno”.

GALAVANTA TRAVEL como responsable del Tratamiento de datos personales, cumple los deberes y obligaciones previstas en el artículo 17 de la Ley 1581 de 2012, y normas que la reglamenten o modifiquen, a saber:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Solicitar y conservar, en las condiciones previstas en la ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular;

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

e) Garantizar que la información que suministre al encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

f) Actualizar la información, comunicando de forma oportuna al encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del Tratamiento;

h) Suministrar al encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;

i) Exigir al encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;

k) Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;

l) Informar al encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

m) Informar a solicitud del Titular sobre el uso dado a sus datos;

n) Informar a la autoridad de protección de datos (Superintendencia de Industria y Comercio – Delegatura de Protección de Datos -) cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

GALAVANTA TRAVEL como encargado del Tratamiento de datos personales, cumple con los deberes y obligaciones previstas en el artículo 18 de la Ley 1581 de 2012, y normas que la reglamenten o modifiquen, a saber:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;

d) Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley;

h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

5. REGLAS GENERALES APLICABLES

GALAVANTA TRAVEL ha establecido las siguientes reglas generales para la protección de datos personales, sensibles y de menores, como es el cuidado de bases de datos, archivos electrónicos e información personal:

GALAVANTA TRAVEL garantiza la autenticidad, confidencialidad e integridad de la información de datos personales que tenga bajo su responsabilidad.
GALAVANTA TRAVEL es quién ejecuta y diseña la estrategia para el cumplimiento del presente Manual. GALAVANTA TRAVEL adoptó todas las medidas técnicas necesarias y posibles para garantizar la protección y control de las bases de datos existentes y bajo su control.
En los casos en que la infraestructura dependa de un tercero, GALAVANTA TRAVEL se cerciorará que tanto la disponibilidad de la información como el cuidado de los datos personales, sensibles y de menores sea un objetivo fundamental. Así las cosas, se hará uso de correos electrónicos a los que se enviarán comunicaciones requiriendo a los terceros, tomar las medidas de cuidado necesarias para la protección de los datos personales y si es de niños, los sensibles.
GALAVANTA TRAVEL realizará auditorías y controles de manera periódica para garantizar la correcta implementación de la Ley 1581 de 2012 y sus decretos reglamentarios. Lo anterior se podrá materializar con la suscripción de actas, informes o comunicaciones electrónicas en las que se relacionen las revisiones periódicas correspondientes. Las revisiones serán periódicas, cada seis meses.
Es responsabilidad de los funcionarios de GALAVANTA TRAVEL reportar inmediatamente ante la Superintendencia de Industria y Comercio – Delegatura de Datos Personales – cualquier incidente de fuga de información, daño informático, violación de datos personales, comercialización de datos, uso de datos personales de niños, niñas o adolescentes, suplantación de identidad, incidentes de seguridad, violación de códigos de seguridad o cualquier tipo de conductas que puedan vulnerar la intimidad de una persona o llegue a generar cualquier tipo de discriminación.
La formación y capacitación de los funcionarios, proveedores, contratistas, será un deber y complemento fundamental de este Manual.
GALAVANTA TRAVEL debe identificar e impulsar las autorizaciones de los Titulares, avisos de privacidad, avisos en el website, avisos en tablones, campañas de sensibilización, leyendas de reclamo y demás procedimientos para dar cumplimiento a la Ley 1581 de 2012 y demás normas que la complementen.
En los apartes de este documento en donde se mencione una ley o regulación legal particular, se entenderá que sin perjuicio de modificación o supresión a la que ésta sea sometida, no será necesario modificar el presente documento, a menos que la nueva regulación o modificaciones sobre la materia, dispongan preceptos contrarios a lo aquí desarrollado.
Respecto del procedimiento para el Tratamiento de Imágenes, le aplicarán las reglas generales aquí descritas, en especial, respecto de los derechos de los titulares al respecto.

6. DEBER DE SECRETO Y CONFIDENCIALIDAD

GALAVANTA TRAVEL garantiza y exige a toda persona que intervenga en cualquier fase del Tratamiento de los datos de carácter personal privado, sensible o de menores que se realice o llegue a realizar, el secreto profesional, respecto de estos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones contractuales con GALAVANTA TRAVEL.

7. POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN

a. DERECHO A LA AUTORIZACIÓN Cuando se trate de datos diferentes a los de naturaleza pública, o los definidos en el numeral 2 del artículo 3 del Decreto Reglamentario 1377 de 2013, GALAVANTA TRAVEL solicitará de manera previa, expresa e informada la autorización para el Tratamiento de datos personales por cualquier medio que permita posteriormente ser utilizado como prueba. Según el caso, dicha autorización puede ser parte de un documento más amplio como, por ejemplo, de un contrato, cláusulas a los contratos, avisos, carteles o de un documento específico (formato, formulario, otrosí, etc.). En caso de tratarse de datos de carácter personal correspondientes a personas naturales, la descripción de la finalidad del Tratamiento de los datos se informará en el documento específico ó entregará información sobre donde está disponible la finalidad. GALAVANTA TRAVEL informará al Titular de los datos lo siguiente:

El Tratamiento al que serán sometidos sus datos personales y la finalidad específica del mismo.
El tiempo por el cual serán tratados sus datos personales conforme a las tablas de retención de GALAVANTA TRAVEL.
Los derechos que le asisten como Titular.
Quién es el responsable del Tratamiento.
La página web, correo electrónico, dirección física y demás canales de comunicación por los cuales podrá formular consultas y/o reclamos ante el responsable o encargado del Tratamiento.

b. DERECHO DE ACCESO O CONSULTA

El Titular de datos personales podrá acceder o consultar la información de carácter personal que repose en cualquier base de datos de GALAVANTA TRAVEL. En consecuencia, GALAVANTA TRAVEL garantiza el derecho de consulta conforme a lo dispuesto en la Ley 1581 de 2012 y demás normas complementarias exclusivamente sobre los datos personales, sensibles y de menores correspondientes a personas naturales, suministrando a los Titulares de estos datos personales la información contenida en cada una de nuestras bases de datos. Este derecho sólo aplica a los Titulares de datos personales que correspondan a personas naturales reconocidas por la legislación vigente, previa acreditación de su identidad como Titular, poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales tratados, a través de cualquier medio de comunicación, incluyendo los electrónicos que permitan el acceso directo del Titular. Dicho acceso, se sujeta a los límites establecidos en el artículo 21 del Decreto Reglamentario 1377 de 2013.

GALAVANTA TRAVEL establecerá las medidas de autenticación que permiten identificar de manera segura al Titular de los datos personales que realiza la consulta o petición.

Con respecto a la atención de solicitudes de consulta de datos personales, GALAVANTA TRAVEL garantiza:

Habilitar medios de comunicación electrónica u otros que considere pertinentes y seguros;
Establecer formularios, sistemas y otros métodos que se informarán en el Aviso de Privacidad;

Utilizar los servicios de atención al cliente o de reclamaciones que se encuentren en operación. Los titulares de los datos personales podrán consultar su información personal que repose en la base de datos de GALAVANTA TRAVEL, para esto el titular debe realizar la solicitud a través de nuestro correo electrónico alexis@galavanta.com. Una vez analizado el caso, el oficial de protección de datos se encargará de contactar a quien realiza la solicitud y solicitar la información complementaria necesaria.

Independientemente del mecanismo implementado para la atención de solicitudes de consulta, éstas serán tramitadas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. En el evento en el que una solicitud de consulta no pueda ser atendida dentro del término antes señalado, se informará al interesado antes del vencimiento del plazo las razones por las cuales no se ha dado respuesta a su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

c. DERECHO A RECLAMAR

El Titular de datos personales o sus causahabientes, que correspondan a una persona natural y considere que la información contenida o almacenada en alguna de nuestras bases de datos, puede ser objeto de corrección, actualización o supresión, o cuando advierta un presunto incumplimiento de cualquiera de los deberes y principios contenidos en la normativa sobre Protección de Datos Personales, podrá presentar reclamación ante el responsable o encargado del Tratamiento de GALAVANTA TRAVEL.

El Titular que considere que su información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrán presentar un reclamo ante GALAVANTA TRAVEL, a través de nuestro correo electrónico alexis@galavanta.com. Una vez analizado el caso, el oficial de protección de datos se encargará de contactar a quien realiza la solicitud y solicitar la información complementaria necesaria.

El reclamo deberá ser presentado por el titular de la información y debe contener como mínimo su identificación, la descripción de los hechos que dan lugar a su reclamo, la dirección de notificaciones, acompañando los documentos y pruebas que pretenda hacer valer.

GALAVANTA TRAVEL cuenta con las medidas de autenticación necesarias que permiten identificar de manera segura al Titular de los datos personales que realiza el reclamo.

El reclamo lo podrá presentar el Titular, teniendo en cuenta la información señalada en el artículo 15 de la Ley 1581 de 2012.

Una vez recibido el reclamo completo, este pasará al estado “en proceso” el cual indica que el reclamo se encuentra en trámite, en un término no mayor a dos (2) días hábiles.

Dicha anotación debe mantenerse hasta que el reclamo sea resuelto en las oportunidades antes señaladas. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día hábil siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se le informará al interesado indicándole los motivos de la demora y la fecha en que se atenderá efectivamente su reclamación, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer plazo.

Si el reclamo estuviese incompleto, el Oficial de Protección de Datos Personales de GALAVANTA TRAVEL, deberá realizar el trámite respectivo, requerirá al Titular antes del vencimiento del primer término (15 días) para que éste lo complete dentro de los cinco (5) días hábiles siguientes a la recepción del requerimiento, subsanando las fallas o errores. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información solicitada, se entenderá que ha desistido del reclamo, procediendo al archivo mediante un acta u oficio el cual deberá ser notificado al Titular reclamante. Sin perjuicio de que el Titular pueda volver a hacer uso de su derecho de reclamación.

GALAVANTA TRAVEL se compromete a dar trámite a las peticiones, consultas y reclamos de los titulares de la información en los tiempos definidos en la presente política.

En caso de recibido el reclamo y que este no sea de competencia de GALAVANTA TRAVEL para resolverlo, de ser posible se dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

d. DEL DERECHO A LA RECTIFICACIÓN Y ACTUALIZACIÓN DE DATOS

GALAVANTA TRAVEL se obliga a rectificar y actualizar a solicitud del Titular, la información de carácter personal que corresponda a personas naturales, que resulte incompleta o inexacta, de conformidad con el procedimiento y lo términos antes señalados. Al respecto, GALAVANTA TRAVEL tendrá en cuenta lo siguiente:

En las solicitudes de rectificación y actualización de datos personales, el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.
GALAVANTA TRAVEL, tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando beneficien al Titular de los datos personales. En consecuencia, se podrán habilitar medios electrónicos u otros que GALAVANTA TRAVEL considere pertinentes y seguros.
GALAVANTA TRAVEL, podrá establecer formularios, formatos, sistemas y otros métodos, que serán informados en el Aviso de Privacidad y que se pondrán a disposición de los interesados en la página web, instalaciones o sedes de GALAVANTA TRAVEL.

El Titular que considere que su información contenida en una base de datos debe ser objeto de rectificación o actualización podrán presentar su solicitud a través de nuestro correo electrónico alexis@galavanta.com. Una vez analizado el caso, el oficial de protección de datos se encargará de contactar a quien realiza la solicitud y pedir la información complementaria necesaria.

e. DEL DERECHO A LA SUPRESIÓN DE DATOS.

El Titular de datos personales, tiene el derecho a solicitar a GALAVANTA TRAVEL, la supresión (eliminación) de sus datos personales. Para esto, se tendrá en cuenta los siguientes supuestos:

Que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente sobre Protección de Datos Personales.
Que hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
Que se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recogidos.

Esta supresión implica la eliminación o borrado seguro, total o parcial, de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o Tratamientos realizados por GALAVANTA TRAVEL.

El derecho de supresión no es un derecho absoluto, y GALAVANTA TRAVEL como responsable del Tratamiento de datos personales, puede negar o limitar el ejercicio del mismo cuando:

El Titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
Los datos sean datos de naturaleza pública y correspondan a los registros públicos, los cuales tienen como finalidad su publicidad.

El Titular que considere que su información contenida en una base de datos debe ser objeto de supresión podrán presentar su solicitud a través de nuestro correo electrónico alexis@galavanta.com. Una vez analizado el caso, el oficial de protección de datos se encargará de contactar a quien realiza la solicitud y pedir la información complementaria necesaria.

f. DEL DERECHO A REVOCAR LA AUTORIZACIÓN

Todo Titular de datos personales que correspondan a personas naturales, puede revocar en cualquier momento, el consentimiento al Tratamiento de éstos, siempre y cuando no lo impida una disposición legal o contractual. Para ello, GALAVANTA TRAVEL ha establecido mecanismos sencillos y gratuitos que le permiten al Titular revocar su consentimiento.

En los casos que sea posible la revocatoria de la autorización, se atenderá bajo las siguientes dos modalidades:

Revocación Total: sobre la totalidad de finalidades consentidas, esto es, que GALAVANTA TRAVEL debe dejar de tratar por completo los datos del Titular de datos personales.
Revocación Parcial: sobre ciertas finalidades consentidas como por ejemplo para fines publicitarios o de estudios de mercado u otros. En este caso, GALAVANTA TRAVEL deberá suspender parcialmente el Tratamiento de los datos del Titular. Se mantienen entonces otros fines del Tratamiento que el responsable, de conformidad con la autorización otorgada, puede llevar a cabo y con los que el Titular está de acuerdo.

El derecho de revocatoria no es absoluto y GALAVANTA TRAVEL como responsable del Tratamiento de datos personales, puede negar o limitar el ejercicio del mismo cuando:

El Titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
La revocatoria de la autorización del Tratamiento obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos.
La actualización de sanciones administrativas.
Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
Los datos sean de naturaleza pública y correspondan a los registros públicos, los cuales tienen como finalidad su publicidad.

El Titular que considere que su información contenida en una base de datos debe ser objeto de revocación podrán presentar su solicitud a través de nuestro correo electrónico alexis@galavanta.com. Una vez analizado el caso, el oficial de protección de datos se encargará de contactar a quien realiza la solicitud y pedir la información complementaria necesaria.

8. FUNCIÓN DE LA PROTECCIÓN DE DATOS PERSONALES AL INTERIOR DE GALAVANTA TRAVEL

Los responsables: GALAVANTA TRAVEL es el responsable del Tratamiento de datos personales y para esto ha delegado a los Oficiales de Protección de Datos, quienes velarán por el debido cumplimiento del presente Manual y de las demás normas que regulen el buen uso de los datos personales. Sus datos de contacto son: alexis@galavanta.com.
Los Encargados: Es encargado del Tratamiento de datos personales cualquier persona natural o jurídica, pública o privada, que realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento de GALAVANTA TRAVEL. Esto supone que para cada Tratamiento de datos se hayan definido sus respectivos encargados y que éstos actúen por instrucción precisa del responsable de GALAVANTA TRAVEL, información que será entregada al Titular.
Deberes de los encargados: GALAVANTA TRAVEL distingue entre encargado interno y encargado externo. Los encargados internos son empleados de GALAVANTA TRAVEL mientras que los externos son personas naturales o jurídicas que tratan datos que GALAVANTA TRAVEL les suministra para la realización de una tarea asignada (proveedores, clientes, socios, auditores, consultores, empresas de tercerización, etc.)
Los grupos de encargados que GALAVANTA TRAVEL designa para realizar Tratamientos de datos específicos son:

– El encargado interno: el cargo o funcionario que tendrá dentro de GALAVANTA TRAVEL, las funciones aquí descritas, serán los Líderes de cada uno de los Procesos.

Reportar cualquier incidente que afecte el cumplimiento del presente manual.
Apoyar las tareas de control y actualización del inventario de información personal continuamente para identificar y evaluar nuevas recolecciones, usos y divulgaciones.
Revisar las políticas siguiendo los resultados de las evaluaciones o auditorías.
Adoptar medidas de capacitación y sensibilización de forma periódica sobre el uso y responsabilidad del tratamiento de datos personales.
Y las demás que el Oficial de Protección de Datos le encarguen.

– Los encargados o responsables externos: en caso de que GALAVANTA TRAVEL así lo disponga o considere oportuno, podrá delegarse a encargados externos, ciertas funciones o responsabilidades en el tratamiento de datos suministrados por GALAVANTA TRAVEL, para la realización de una tarea específica.

9. EL REGISTRO NACIONAL DE BASES DE DATOS -RNBD

De acuerdo con el artículo 25 de la Ley 1581, sus decretos y circulares reglamentarias, el Titular o cualquier interesado podrá encontrar inscritas todas las bases de datos con información de carácter personal tratadas por GALAVANTA TRAVEL y este Manual de Políticas y Procedimientos, en el Registro Nacional de Bases de Datos (RNBD) dispuesto por la SIC en su página web. (Link)

10. REFERENCIA A OTROS DOCUMENTOS

El presente Manual de Protección de Datos Personales ha sido elaborado en concordancia con las siguientes normas y documentos: Constitución Política de Colombia. Ley 1266 de 2008. Ley 1581 de 2012. Decreto 1074 de 2015 Decreto 090 de 2018. Ley 1273 de 2009. Circular 002 de 2015 de la SIC. Circular 003 de 2018 de la SIC. Documento de Seguridad. Aviso de Privacidad.

Lo anterior, sin perjuicio de jurisprudencia o conceptos que adicionen, modifiquen o permitan ajustar el presente documento.

11. SEGURIDAD DE LA INFORMACIÓN

En aplicación del principio de seguridad indicado en la presente Política, GALAVANTA TRAVEL adoptará las medidas de seguridad que imparta la Superintendencia de Industria y Comercio y las medidas técnicas, de su recurso humano y áreas administrativas que sean necesarias para otorgar seguridad a los datos evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

12. ACTUALIZACIONES DEL MANUAL

GALAVANTA TRAVEL es autónoma para modificar en cualquier momento y de forma unilateral el presente manual, así como los documentos internos relacionados con el Tratamiento de Datos Personales, evento que será comunicado a los titulares través de cualquier medio electrónico o físico de comunicación.

13. VIGENCIA

El presente Manual rige a partir del 1 de julio de 2020.

Actualizaciones del Manual: GALAVANTA TRAVEL podrá modificar los términos y condiciones del presente manual como parte del esfuerzo por cumplir con las obligaciones establecidas por la Ley 1581 de 2012, los decretos reglamentarios y demás normas que complementen modifiquen o deroguen esta Política, con el fin de reflejar cualquier cambio en nuestras operaciones o funciones. Dichas modificaciones, serán sujeto de las correspondientes actualizaciones en el aplicativo que la autoridad competente disponga para el Registro de Base de Datos, en este caso, la Superintendencia de Industria y Comercio.

GALAVANTA TRAVEL reportará las solicitudes, peticiones o cualquier manifestación frente al ejercicio de derechos de Protección de Datos Personales cada seis (6) meses ante la Superintendencia de Industria y Comercio conforme a lo establecido en la circular 003 de 2018.

Stay updated!
Sign up to our newsletter

Hear about our latest journeys and adventures by signing up to our mailing list.

CARTAGENA DE INDIAS, COLOMBIA

+57 (320) 809-6867

travel @ galavanta.com

Terms & Conditions

Data Protection Policy

Data protection policy

Protección de datos

Stay updated! Sign up to our newsletter

Stay updated!
Sign up to our newsletter