POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE ARIEL, ASISTENTE LEGAL CON IA

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE ARIEL, ASISTENTE LEGAL CON IA

ARIEL es una plataforma diseñada para la consulta, análisis y transcripción de documentos jurídicos, la cual se compromete a respetar la privacidad del usuario y manejar los datos con el máximo cuidado y precaución. Al acceder o utilizar nuestro servicio, usted indica que ha leído, comprendido y aceptado la recopilación, almacenamiento y uso de su información personal como se describe en esta Política.

La presente Política ha sido adoptada por SOLUCIONES INNOVATECH LEGAL S.A.S., identificada con NIT 901.805.515-5 y con domicilio en la ciudad de Puerto Colombia, Atlántico, en la dirección Cl. 3 Cra. 14 #C4-CA2, en calidad de persona jurídica responsable de la comercialización y administración de la plataforma ARIEL, Asistente Legal con IA.

Lo anterior, en cumplimiento de las disposiciones constitucionales y legales en materia de protección de datos personales —en particular, la Constitución Política, la Ley 1581 de 2012, y los Decretos 1733 de 2013 y 886 de 2014, compilados en el Decreto Único Reglamentario 1074 de 2015—, con el propósito de garantizar que los titulares de la información puedan ejercer plenamente sus derechos a autorizar, conocer, actualizar, rectificar, suprimir y revocar la autorización respecto de los datos personales que sean objeto de tratamiento en las bases de datos administradas.

Contenido

Título I. Tratamiento, destinatarios, definiciones y principios3

Artículo 1. Tratamiento de Datos.3

Artículo 2. Agentes involucrados3

Artículo 3. Destinatarios3

Artículo 4. Definiciones4

Artículo 5. Principios.7

Artículo 6. Finalidades del Tratamiento.8

Título II. Conservación y uso de los Datos Personales recolectados.11

Artículo 7. Plazo de conservación de los datos personales.11

Artículo 8. Cancelación de la cuenta y supresión de datos12

Artículo 9. Comunicaciones publicitarias.13

Artículo 10. Privacidad y Confidencialidad del contenido generado por el Usuario y/o Cliente.13

Artículo 11. Transferencia internacional de datos, cesión y venta de datos personales15

Artículo 12. Transmisión de datos personales a encargados del tratamiento16

Título III. Derechos y condiciones de legalidad para el tratamiento de datos17

Artículo 13. Derechos de los titulares.17

Artículo 14. Autorización del titular.18

Artículo 15. Información mínima que se comunicará al momento de solicitar la autorización.18

Artículo 16. Casos en que no es necesaria la autorización.19

Artículo 17. Aviso de privacidad.19

Artículo 18. Información personal recopilada.20

Título IV. Deberes y obligaciones21

Artículo 19. Deberes de El Responsable de Tratamiento.21

Artículo 20. Seguridad y retención de la información.23

Artículo 21. Historial de chat y eliminación de datos.23

Artículo 22. Aviso de responsabilidad del usuario.24

Título V. Procedimiento para la recepción y resolución de consultas y reclamos24

Artículo 23. Legitimación para el ejercicio de los derechos del titular.24

Artículo 24. Consultas.25

Artículo 25. Reclamos.26

Artículo 26. Corrección o actualización de datos personales del titular.26

Artículo 27. Revocatoria parcial o total de la autorización del tratamiento.26

Artículo 28. Supresión de datos personales.27

Artículo 29. Improcedencia de la solicitud de supresión de los datos o revocatoria de la autorización.27

Artículo 30. Programa Integral de Gestión y Supervisión de Datos Personales.27

Artículo 31. Procedimiento para atender consultas.29

Artículo 32. Procedimiento para atender reclamos.29

Título VI. Biblioteca Personalizada.30

Artículo 33. Recopilación de datos.30

Artículo 34. Restricción de acceso a la información.31

Artículo 35. Indemnidad frente al tratamiento de datos de terceros. 34

Título VII. Disposiciones finales34

Artículo 36. Temporalidad del tratamiento. 34

Artículo 37. Vigencia y actualizaciones. 34

Título I. Tratamiento, destinatarios, definiciones y principios

Artículo 1. Tratamiento de Datos.

SOLUCIONES INNOVATECH LEGAL S.A.S., como Responsable del Tratamiento de Datos Personales, velará por el cumplimiento de los procedimientos y directrices establecidos, legal y contractualmente, en el tratamiento de cualquier base de datos o archivos creados, administrados y/o custodiados por la plataforma.

Adicionalmente, llevará a cabo la supervisión de los procedimientos internos, atención de consultas y reclamos, y demás funciones que sean atribuibles a su posición como Responsable de Datos Personales.

Artículo 2. Agentes involucrados

Se identifican tres (3) actores fundamentales: (i) el usuario, entendido como el cliente de ARIEL y titular de los datos personales; (ii) la plataforma ARIEL, que actúa como herramienta tecnológica para la gestión, consulta y análisis de información jurídica; y (iii) el Responsable de Tratamiento de Datos Personales, rol asumido por Soluciones Innovatech Legal SAS.

Artículo 3. Destinatarios

La presente Política está dirigida a los Usuarios y/o Clientes y titulares de Datos Personales que sean objeto de Tratamiento por parte de El Responsable en las bases de datos de ARIEL, para que puedan tener a su disposición información necesaria y suficiente sobre las diferentes finalidades para las cuales serán tratados sus Datos Personales, así como los derechos que les asisten en su calidad de Titulares de la información.

Esta política es de obligatorio cumplimiento para las personas naturales y/o jurídicas que realicen cualquier tratamiento de los datos personales almacenados en las bases de datos de ARIEL, con el propósito de brindar los lineamientos necesarios para el cumplimiento de las obligaciones legales en materia de protección de datos personales.

Artículo 4. Definiciones

Para efectos de esta Política se entiende por:

a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

b) Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular, para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

c) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

d) Bases de datos automatizadas: Aquellas que se almacenan y administran con la ayuda de herramientas informáticas y/o tecnológicas.

e) Bases de datos manuales: Son los archivos cuya información se encuentra organizada y almacenada de manera física.

f) Chatbot: Es un programa informático que utiliza inteligencia artificial (IA) y procesamiento del lenguaje natural (NLP) para comprender las preguntas de los usuarios y automatizar las respuestas a dichas preguntas, simulando la conversación humana.

g) Corresponsable: Cuando el usuario cargue datos personales de terceros a la plataforma, declara que cuenta con autorización previa, expresa e informada de los titulares para su tratamiento, y asume el rol de corresponsable del tratamiento en los términos de la Ley 1581 de 2012. En consecuencia, responderá por cualquier infracción a la normativa de protección de datos personales derivada de su conducta.

h) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Estos datos se clasifican en sensibles, públicos, privados y semiprivados.

i) Dato público: Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y todos aquellos que no sean semiprivados, privados o sensibles. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, su número de identificación y su calidad de comerciante o de servidor público, entre otros.

j) Dato semiprivado: Es semiprivado el dato que no tiene naturaleza pública, privada ni sensible y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas. Son considerados datos semi-privados aquellos relativos a su comportamiento financiero, a su actividad comercial o de servicios, su correo electrónico, teléfono y dirección de residencia, entre otros.

k) Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular, como los libros de los comerciantes, información acerca del número de hijos, nombre del cónyuge, fotografías y videos sobre su estilo de vida, entre otros.

l) Dato sensible: Es el que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

m) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asociación con otros, decide sobre la base de datos y/o el tratamiento de los datos personales.

n) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asociación con otros, realiza el tratamiento de los datos personales por cuenta del Responsable del Tratamiento.

o) Fuentes accesibles al público: Se refiere a aquellas bases contentivas de datos personales públicos cuya consulta puede ser efectuada por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.

p) Habeas Data: En concordancia con la Sentencia T-729 de 2002, es el derecho fundamental que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de estos, conforme a los principios que informan el proceso de administración de bases de datos personales.

q) Información pública reservada: es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en la normativa referida.

r) Titular: Es la persona natural cuyos datos personales sean objeto de Tratamiento. Para El Responsable serán titulares de la información los usuarios, colaboradores y cualquier otra persona natural cuyos datos sean objeto de tratamiento.

s) Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento del encargado por cuenta del responsable.

t) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

u) Recolección: Es la operación mediante la cual se obtienen datos de los titulares, ya sea de forma directa o indirecta, para ser incorporados en una base de datos o archivo.

v) Almacenamiento: Es la conservación los datos personales en una base de datos o archivo, utilizando medios tecnológicos o manuales.

w) Uso: Implica cualquier acción que se realice con los datos almacenados, como su consulta, análisis o procesamiento, para cumplir con las finalidades específicas informadas al titular.

x) Circulación: Es la operación que permite compartir o transferir los datos a terceros, siempre que se cumplan las disposiciones legales aplicables.

y) Supresión: Es la eliminación de los datos de una base de datos o archivo, ya sea por solicitud del titular, por cumplimiento de un mandato legal o judicial, o porque ya no son necesarios para las finalidades para las cuales fueron recolectados.

z) Contenido del cliente: Se entiende por Contenido del Cliente toda información, datos electrónicos, documentos de texto y/o archivos de audio generados por los Usuarios del Cliente a través de ARIEL y/o cargados al Sistema por dichos Usuarios.

Artículo 5. Principios.

Para el tratamiento de Datos Personales, así como en el desarrollo, interpretación e implementación de la presente Política, se aplicarán de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de tratamiento de datos: El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la normativa vigente.

b) Principio de interpretación integral de derechos constitucionales: Los procedimientos y directrices establecidas en esta política se interpretarán de forma integral en el sentido de que se amparen adecuadamente los derechos constitucionales, como lo son el habeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información.

c) Principio de finalidad: El tratamiento de datos personales obedecerá a finalidades legítimas de acuerdo con la Constitución y la ley, las cuales serán informadas al titular.

d) Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

e) Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

f) Principio de transparencia: Se garantizará al Titular obtener del responsable del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia y contenido de datos que le conciernen.

g) Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones en materia de habeas data y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la normativa vigente. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.

h) Principio de seguridad: La información sujeta a tratamiento por parte de El Responsable se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

i) Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad relacionada con el derecho al habeas Data.

j) Principio de temporalidad de la información: La información del titular no será suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

k) Principio de responsabilidad demostrada: El Responsible implementará el principio de responsabilidad demostrada para lo cual propenderá por tener una alta cultura organizacional en materia de protección de datos personales y el compromiso de la alta dirección sobre la materia, de conformidad con las guías implementadas por la Superintendencia de Industria y Comercio.

Artículo 6. Finalidades del Tratamiento.

SOLUCIONES INNOVATECH LEGAL S.A.S., trata datos personales de sus grupos de interés en ejecución de su objeto social principal, mediante procesos automatizados y seguros.

En ese sentido, LA COMPAÑÍA, en calidad de Responsable del Tratamiento, recolectará y tratará sus datos personales con base en su consentimiento previo, expreso e informado, para las siguientes finalidades específicas:

a) Finalidades contractuales:

Los datos personales como nombre, correo electrónico y teléfono, recolectados desde el registro inicial en nuestra plataforma, serán utilizados para:

1.Gestionar la relación contractual derivada del uso de nuestros servicios.

2.Procesar pagos y realizar la facturación correspondiente.

3.Contactarlo para asuntos relacionados con el servicio, soporte técnico y administrativo.

4.Enviarle comunicaciones comerciales, publicitarias o promocionales sobre los productos y servicios de ARIEL. Usted podrá revocar esta autorización en cualquier momento.

b) Finalidades de mejora y optimización del servicio:

Para garantizar el correcto funcionamiento de la plataforma, proteger su seguridad y mejorar continuamente la experiencia del usuario, trataremos los siguientes datos:

•Datos de conexión y dispositivo: Dirección IP, tipo de navegador, sistema operativo y horarios de acceso.

•Datos de uso y navegación:Registros de actividad (logs), páginas visitadas, funciones utilizadas, número de consultas y volumen de información descargada.

•Archivos cargados por el usuario: Los documentos, audios y videos cargados a la plataforma son tratados de forma temporal y exclusivamente para la prestación del servicio solicitado por usted. Estos archivos son eliminados de nuestros sistemas una vez usted elimina el chat correspondiente o elimine el documento dentro del chat. ARIEL no utilizará estos archivos para responder a consultas de otros usuarios ni para entrenar sus modelos de inteligencia artificial.

Esta finalidad obedecerá únicamente a los siguientes objetivos operativos:

• Para la seguridad y análisis de la plataforma: La dirección IP y los registros de actividad se utilizarán para monitorear la seguridad de nuestros sistemas, prevenir accesos no autorizados o fraudulentos, diagnosticar problemas técnicos e investigar posibles violaciones a los Términos y Condiciones.

• Para la mejora y optimización de los servicios: Los datos de uso, navegación y la información obtenida por cookies nos permiten entender cómo los usuarios interactúan con la plataforma. Esta información se analiza de forma agregada para identificar áreas de mejora, optimizar la usabilidad y desarrollar nuevas funcionalidades que respondan a las necesidades de nuestros clientes.

• Para la verificación del cumplimiento contractual: Se podrán realizar consultas sobre el volumen de descargas y los patrones de uso para verificar que la utilización de los servicios se ajusta a los términos pactados y no incurre en usos comerciales no autorizados o actividades que puedan ser signo de ataques cibernéticos.

• De acuerdo con el principio de transparencia, usted tiene derecho a obtener, en cualquier momento y sin restricciones, información acerca de la existencia de los datos que le conciernen.

c) Cumplimiento de obligaciones legales:

Conservaremos ciertos datos personales para cumplir con las obligaciones legales que nos son impuestas como comerciantes. Específicamente, los datos contenidos en lo que la ley denomina "libros y papeles del comerciante", tales como:

•Facturas emitidas.

•Comprobantes de pago y soportes de contabilidad.

•Contratos celebrados.

•Correspondencia directamente relacionada con las operaciones comerciales.

Esta información será conservada y puesta a disposición de las autoridades competentes cuando así lo requieran.

d) Finalidades de Marketing y mmantenimiento de la relación comercial:

Siempre que contemos con su autorización previa, expresa e inequívoca para esta finalidad específica, utilizaremos sus datos de contacto (nombre, teléfono y correo electrónico) para:

•Durante la relación contractual: Enviarle comunicaciones comerciales, publicitarias o promocionales sobre nuestros productos, servicios, descuentos y novedades.

•Posterior a la relación contractual: Mantener nuestra relación comercial mediante el envío de información publicitaria, descuentos, promociones y ofertas de retención, después de la terminación de su último contrato o suscripción.

Usted podrá revocar esta autorización en cualquier momento y solicitar la supresión de sus datos para fines de marketing, sin que ello afecte la prestación de los servicios contratados o el cumplimiento de nuestras obligaciones legales.

Título II. Conservación y uso de los Datos Personales recolectados.

Artículo 7. Plazo de conservación de los datos personales.

Los datos personales serán tratados únicamente durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron su recolección y atendiendo a las disposiciones legales aplicables Una vez cumplida la finalidad, procederemos a la supresión, salvo que exista un deber legal o contractual que exija su conservación.

Cabe resaltar que un mismo dato personal podrá ser utilizado simultáneamente para varias finalidades. No obstante, cuando cese la finalidad que justifique su tratamiento para un fin específico, dicho dato será eliminado o bloqueado de la base de datos para esa finalidad, aun cuando deba conservarse para el cumplimiento de otra finalidad legítima, legal o contractual.

Los plazos serán los siguientes:

a) Datos tratados para finalidades contractualesLos datos personales recolectados estrictamente para la prestación del servicio de licenciamiento del software ARIEL y para el correcto funcionamiento de la plataforma serán tratados durante el tiempo en que se mantenga vigente la relación contractual entre las partes. Una vez finalizada dicha relación, los datos serán suprimidos, salvo que resulte aplicable alguna de las excepciones legales o contractuales previstas en esta política.

b) Datos tratados para la mejora y optimización del servicioLos datos relacionados con el uso de la plataforma, navegación y demás información asociada a la cuenta del Usuario serán conservados mientras la cuenta permanezca activa. Una vez la cuenta sea cancelada, dicha información será eliminada o anonimizada, salvo que el Usuario otorgue su autorización expresa para que los datos sean conservados por un período determinado, con el único propósito de permitir una eventual reactivación de su suscripción, de conformidad con lo establecido en la sección “Cancelación de la cuenta y supresión de datos” de la presente Política.

c) Datos tratados para el cumplimiento de obligaciones legalesLos datos personales que integran los libros y papeles del comerciante, tales como facturas, contratos, comprobantes contables y demás soportes exigidos por la normativa vigente, serán conservados por un período de diez (10) años, contados a partir de la fecha del último asiento,
documento o comprobante, de conformidad con lo dispuesto en el artículo 28 de la Ley 962 de 2005. Durante este período no procederá la solicitud de supresión de dichos datos, en la medida en que existe un deber legal de conservación. No obstante, la información se mantendrá bloqueada y solo estará disponible para atender requerimientos de autoridades administrativas o judiciales competentes.

d) Datos tratados para finalidades de marketing postcontractualCon base en la autorización previa, expresa e informada otorgada por el Titular, LA COMPAÑÍA podrá conservar los datos de contacto del Usuario con fines comerciales y de marketing por un período máximo de un (1) año contado a partir de la terminación de la relación contractual. Transcurrido dicho plazo, o en caso de que el Titular revoque su consentimiento antes de su vencimiento, los datos serán suprimidos de manera definitiva para esta finalidad.

Artículo 8. Cancelación de la cuenta y supresión de datos

El usuario titular de la cuenta podrá, en cualquier momento, solicitar la cancelación de su suscripción a través del panel de autogestión de su cuenta. Al momento de cancelar, se le ofrecerán las siguientes dos opciones:

1. 'Cancelar y eliminar mi cuenta': Al seleccionar esta opción, se procederá con la eliminación inmediata y permanente de todos los datos asociados a la mejora del servicio, incluyendo historial de chats, consultas realizadas, registros de actividad y archivos cargados. Tenga en cuenta que la supresión de datos personales para fines comerciales y contractuales no será inmediata si ARIEL tiene un deber legal o contractual de conservarlos, según lo estipulado en el plazo de conservación de esta política

2. 'Cancelar y conservar mi cuenta': Si elige esta opción, su suscripción será cancelada, pero conservaremos la información de su cuenta y su historial de actividad por un período de sesenta (60) días calendario. Esta opción está diseñada para facilitar la reactivación de su cuenta con su historial intacto si decide volver a suscribirse dentro de dicho plazo. Transcurridos los 60 días sin que se reactive la suscripción, procederemos a la eliminación automática y permanente de esta información, salvo que usted solicite la extensión en dicho plazo, para la conservación de la información.

El titular podrá, en todo momento, solicitar la supresión de sus datos personales o revocar la autorización de tratamiento mediante la presentación de un reclamo a través de los canales de atención habilitados, de acuerdo con el procedimiento establecido en el artículo 15 de la Ley 1581 de 2012

Artículo 9. Comunicaciones publicitarias.

Al aceptar los Términos y Condiciones y la presente Política de Tratamiento de Datos Personales, y al otorgar su autorización previa, expresa e informada para fines de marketing, usted consiente en recibir comunicaciones comerciales y publicitarias relacionadas con los productos y servicios de ARIEL, a través de los canales de contacto suministrados desde su registro inicial como Usuario.

Dicha autorización será válida desde su registro inicial y se extenderá durante toda la vigencia de la relación contractual de licenciamiento del software y hasta por un período máximo de un (1) año contado a partir de la terminación de su última suscripción o contrato, sin perjuicio de su derecho a revocar el consentimiento en cualquier momento.

No obstante, ARIEL se compromete a respetar su derecho a la intimidad y a no recibir publicidad no deseada. En consecuencia:

1.Podrá revocar su autorización para recibir comunicaciones comerciales en cualquier momento a través de nuestros correos electrónicos o contactando a nuestros canales de atención.

2.Antes de contactarlo con fines comerciales o publicitarios, consultaremos el Registro de Números Excluidos (RNE) y nos abstendremos de enviarle este tipo de contenidos si usted se encuentra inscrito en dicho registro, de conformidad con la Ley 2300 de 2023 y la normativa aplicable. La inscripción en el RNE se entenderá como una revocación de su autorización para fines de prospección comercial.

Artículo 10. Privacidad y Confidencialidad del contenido generado por el Usuario y/o Cliente.

En aplicación de los principios de finalidad, proporcionalidad y acceso restringido establecidos en la Ley 1581 de 2012, Soluciones Innovatech Legal SAS declara y garantiza que no tendrá acceso ni realizará tratamiento alguno sobre el contenido específico de las consultas, preguntas o documentos generados o cargados por el licenciatario a través de ARIEL. El monitoreo del equipo humano de Ariel se limita exclusivamente a los datos tecnológicos y de uso (metadata) que resultan estrictamente necesarios para cumplir con las finalidades de seguridad, optimización del servicio y verificación de cumplimiento contractual. El Contenido Generado se considera información privada y sometida a reserva, siendo el licenciatario el único con acceso y control sobre dicha información.

LA COMPAÑÍA ha implementado las medidas técnicas, humanas y administrativas necesarias para asegurar esta separación y garantizar que el Contenido Generado no será objeto de consulta, uso o acceso no autorizado, en cumplimiento del principio de seguridad.

10.1 Carga y uso del contenido. El Cliente y/o Usuario podrá cargar en el Sistema audios, documentos, contratos, acuerdos y/o archivos, y autoriza expresamente que dichos contenidos interactúen con el chatbot de ARIEL, con el fin de que las respuestas generadas por la plataforma incorporen o tengan en cuenta el conocimiento específico contenido en tales archivos. El Cliente y/o Usuario podrá igualmente transcribir audios y realizar consultas con base en los documentos cargados en el Sistema.

10.2 Almacenamiento e indexación del contenido. Al utilizar ARIEL, el Cliente y/o Usuario autoriza que el software licenciado almacene de manera temporal e indexe el Contenido del Cliente, exclusivamente para efectos de prestar los Servicios de forma adecuada y eficiente.

10.3 Ausencia de revisión previa del contenido. LA COMPAÑÍA no realiza, en ningún caso, auditoría, verificación ni revisión previa del Contenido del Cliente y/o Usuario. En consecuencia, el Cliente y/o Usuario exonera y mantendrá indemne a LA COMPAÑÍA frente a cualquier reclamación, daño o responsabilidad que se derive del contenido cargado en el Sistema.

10.4 Confidencialidad y acceso al contenido. Cuando el Contenido del Cliente y/o Usuario sea almacenado en la biblioteca personal, LA COMPAÑÍA implementará medidas razonables de seguridad para garantizar su confidencialidad y procurará que dicho contenido sea accesible únicamente por el Cliente correspondiente. No obstante, el Cliente y/o Usuario reconoce que, por la naturaleza propia de los servicios de Internet, LA COMPAÑÍA no puede garantizar de manera absoluta que terceros no autorizados puedan acceder de forma puntual al contenido por causas ajenas a su control.

10.5 Acceso en bibliotecas compartidas. Los Usuarios pertenecientes a un mismo Cliente u organización podrán acceder únicamente al Contenido del Cliente cargado en la biblioteca personalizada compartida de dicha organización. En ningún caso los Usuarios de un Cliente tendrán acceso a bibliotecas pertenecientes a otros Clientes, ni dicho contenido estará disponible a través de licencias generales.

10.6 Información sensible y deber de indemnidad. El Cliente y/o Usuario reconoce igualmente que, al tratarse de una plataforma profesional de carácter legal, podrá cargar, bajo su exclusiva responsabilidad, información sensible de clientes, datos personales asociados a casos u otra información protegida, siempre que su uso se realice de manera adecuada y conforme a la normativa aplicable.

El Cliente y/o Usuario declara conocer las condiciones de almacenamiento y acceso al contenido dentro del Sistema y se compromete a cargar y utilizar únicamente información confidencial sensible, secretos empresariales o información protegida respecto de la cual cuente con la debida autorización legal o contractual para su uso.

El uso legítimo y diligente de la plataforma, en los términos aquí establecidos, no se considerará constitutivo de incumplimiento del deber de secreto profesional, en la medida en que el Sistema cuenta con mecanismos de cifrado y medidas de seguridad razonables que impiden el acceso de terceros no autorizados.

No obstante, en caso de que terceros accedan a dicha información como consecuencia del incumplimiento del Cliente y/o Usuario de sus deberes de custodia, protección y confidencialidad de las credenciales de acceso a su cuenta, el Cliente y/o Usuario mantendrá indemne a LA COMPAÑÍA frente a cualquier reclamación, sanción o perjuicio que se derive de la carga, uso o divulgación del contenido.

Artículo 11. Transferencia internacional de datos, cesión y venta de datos personales

Al aceptar estos términos y condiciones, el Titular otorga su autorización previa, explícita e informada para que ARIEL, en calidad de Responsable del Tratamiento, pueda transferir sus datos personales a terceros países con la finalidad de su cesión o venta a terceros aliados comerciales, socios estratégicos o empresas del mismo grupo empresarial de ARIEL S.A.S., quienes podrán utilizarlos para fines comerciales, de marketing, analítica, desarrollo de nuevos productos o servicios, y otros fines legítimos que serán informados oportunamente.

Sin perjuicio de la autorización otorgada, ARIEL se compromete a implementar medidas contractuales y técnicas para procurar la protección de los datos transferidos. Esto incluye la suscripción de Cláusulas Contractuales Modelo o acuerdos de transferencia de datos con el receptor en el extranjero, con el fin de obligarlo a cumplir con los principios de tratamiento de datos personales colombianos, tales como la seguridad, confidencialidad, acceso restringido y finalidad.

El Titular podrá ejercer sus derechos de conocer, actualizar, rectificar y suprimir sus datos, así como revocar esta autorización en cualquier momento, a través de los canales de atención dispuestos por ARIEL, de acuerdo con la Política de Tratamiento de Datos Personales de la compañía. La revocatoria de la autorización no tendrá efectos retroactivos.

Artículo 12. Transmisión de datos personales a encargados del tratamiento

El Responsable utiliza servicios de proveedores o subprocesadores -que actúan como Encargados de Tratamiento-, nos aseguraremos de que estos terceros cumplan con estándares adecuados de protección de datos y seguridad; cumpliendo con la Ley 1581 de 2012.

Al aceptar la presente Política de Tratamiento de Datos Personales, el Titular autoriza a ARIEL S.A.S., en su calidad de Responsable del Tratamiento, para que transmita sus datos personales a terceros que actuarán como Encargados del Tratamiento.

Esta transmisión podrá realizarse para el cumplimiento de las finalidades autorizadas por el Titular, tales como la gestión de campañas de publicidad y marketing, servicios de contabilidad y facturación, administración de sistemas informáticos, servicios de atención al cliente, y otras actividades tercerizadas que requieran el tratamiento de datos personales por cuenta de ARIEL.

La transmisión de datos personales a Encargados del Tratamiento se formalizará siempre a través de un contrato de transmisión de datos, de conformidad con lo establecido en el artículo 2.2.2.25.5.2. del Decreto 1074 de 2015. Dicho contrato exigirá al Encargado el cumplimiento de las obligaciones legales en materia de protección de datos, incluyendo la salvaguarda de la seguridad y confidencialidad de la información y el tratamiento de los datos exclusivamente para las finalidades instruidas por ARIEL.

En caso de fallas, interrupciones o vulneraciones provenientes de estos proveedores externos, el usuario exonera a El Responsable de cualquier responsabilidad directa o indirecta. Estos proveedores incluyen, entre otros, servicios de almacenamiento en la nube y plataformas tecnológicas integradas a ARIEL.

Título III. Derechos y condiciones de legalidad para el tratamiento de datos

Artículo 13. Derechos de los titulares.

El titular de los datos personales tendrá los siguientes derechos:

a) Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

b) Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el tratamiento de conformidad con la ley.

c) Ser informado, previa solicitud, respecto del uso que se les ha dado a sus datos personales.

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente política y las normas que rigen la materia, cumpliendo para el efecto con el requisito de procedibilidad consistente en haber agotado el trámite de consulta o reclamo ante El Responsable.

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento se ha incurrido en conductas contrarias a la ley y a la Constitución. No obstante lo anterior, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

Artículo 14. Autorización del titular.

A través de ARIEL se solicitará, previo al momento de la recolección de los datos, la autorización del titular para el tratamiento de estos, mediante la aceptación de la presente Política.

Para la autorización del titular pueden utilizarse medios técnicos que faciliten la manifestación de su voluntad. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste: (i) por escrito, (ii) mediante conductas inequívocas que permitan concluir de forma razonable que se otorgó la autorización, garantizando en todo caso que esta sea susceptible de posterior consulta. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

Parágrafo I. Se conservará soporte de la autorización para el tratamiento de datos personales.

Parágrafo II. En todo caso, el tratamiento de los datos personales no se agotará hasta que concurra el tiempo o las causas estipuladas para ello.

Artículo 15. Información mínima que se comunicará al momento de solicitar la autorización.

La información mínima que El Responsable comunicará al Titular del Tratamiento de Datos, al momento de la solicitud de autorización para la recolección, es la siguiente:

a) El tratamiento al cual serán sometidos los datos personales, finalidad de este, período de almacenamiento de la información;

b) El carácter facultativo de la autorización relativa a datos sensibles y de menores de edad;

c) Los derechos que le asisten al titular;

d) La identificación, dirección electrónica de El Responsable o de los canales de

contacto de ARIEL;

e) Indicación de que el tratamiento de los datos no es de carácter indefinido

Artículo 16. Casos en que no es necesaria la autorización.

La autorización del titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial,

b) Datos de naturaleza pública,

c) Casos de urgencia médica o sanitaria,

d) Tratamiento de información autorizado por la ley para fines históricos,

estadísticos o científicos,

e) Datos relacionados con el estado civil de las personas y

f) Demás excepciones contempladas por el ordenamiento jurídico colombiano.

Artículo 10. Autorización para el tratamiento de datos sensibles. La autorización para el tratamiento de datos sensibles deberá obtenerse de manera expresa, es decir, se informará de forma explícita y previa qué tipo de datos sensibles serán solicitados y se comunicará el tratamiento y la finalidad que se le dará a los datos sensibles. Para el tratamiento de este tipo de información el titular no está obligado a dar su autorización o consentimiento.

Artículo 17. Aviso de privacidad.

En los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, El Responsable, a través del aviso de privacidad dará a conocer al Titular la información relativa a la existencia de la política de tratamiento de datos personales; la forma de acceder a esta; la finalidad de la misma; los datos de contacto de El Responsable; los canales dispuestos por ésta para que los titulares de la información ejerzan los derechos previstos en la presente Política; los derechos que le asisten al titular; los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información así como los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente, y cómo acceder o consultar la política de Tratamiento de información.

Artículo 18. Información personal recopilada.

El Responsible utiliza información de la cuenta de cada usuario registrado. De esta manera, al registrar una cuenta con nosotros, recopilaremos datos vinculados a su cuenta, como los siguientes:

Datos básicos de la cuenta:Nombre y detalles de contacto, información personal necesaria para identificar al usuario.

Información de pago: Datos requeridos para procesar pagos, gestionados a través de servicios tercerizados como Treli y Wompi.

Historial de transacciones: Detalles de las operaciones realizadas a través de la cuenta.

Información sensible: Documentos y audios legales o privados: Los usuarios pueden cargar documentos que contengan detalles sobre el usuario y casos legales para ser consultados por ARIEL. Estos pueden incluir expedientes de casos legales, memoriales, escritos, grabaciones de audiencias, entrevistas, entre otros. Son cargados libremente por el usuario, quien es responsable de su custodia y privacidad.

Datos recopilados durante la interacción con la plataforma:

- Datos demográficos: Información demográfica recopilada por sesión y por usuario.

- Tipo de dispositivo y software: Incluyendo el sistema operativo y el navegador utilizado para acceder a ARIEL.

- Respuestas de formularios: Información recogida a través de correos,nombres, nombres de compañías, y respuestas a encuestas de satisfacción en diversas páginas.

- Comportamiento dentro de la aplicación: Incluye qué botones fueron clicados y cuánto texto se utilizó.

- Archivos cargados: Todos los datos, incluyendo audios y documentos, que el usuario cargue para interactuar con la plataforma serán recopilados y utilizados exclusivamente para las funciones y tareas designadas por el usuario. El usuario tiene la responsabilidad de eliminar el chat de la plataforma para eliminar lo cargado. Estos archivos pueden incluir una amplia gama de formatos, como texto, audio, y otros medios que contengan información relevante para los propósitos de uso de ARIEL.

Preguntas y respuestas: ARIEL recopilará datos durante la interacción del usuario con la plataforma, incluyendo tanto las preguntas formuladas como las respuestas proporcionadas, para el registro de la conversación del propio usuario en su historial privado. Estos datos serán borrados cuando el usuario elimine la conversación.

Parágrafo I. El Usuario es el único responsable de verificar que los documentos que cargue en ARIEL sean adecuados, completos y pertinentes para los fines que persigue. En consecuencia, El Responsable se exonera de toda responsabilidad frente a la idoneidad, veracidad, vigencia o legalidad del contenido de dichos documentos.

Título IV. Deberes y obligaciones

Artículo 19. Deberes de El Responsable de Tratamiento.

El Responsable cumplirá con los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley, debe:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b) Solicitar y conservar copia de la respectiva autorización otorgada por el titular.

c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d) Informar a solicitud del titular sobre el uso dado o que se dará a sus datos.

e) Conservar la información bajo las condiciones de seguridad necesarias para

impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

f) Tramitar las consultas y reclamos formulados en los términos señalados en la presente política y realizar oportunamente la actualización, rectificación o supresión de los datos.

g) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

h) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

i) Registrar en la base de datos la leyenda “reclamo en trámite” cuando este sea formulado por parte del titular de la información o “información en discusión judicial”, una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

j) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

k) Permitir el acceso a la información únicamente a las personas que están legitimadas para acceder a ella.

l) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

m) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

n) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

o) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente política;

p) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

q) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

Artículo 20. Seguridad y retención de la información.

Para procurar la privacidad de los datos que se carguen en la herramienta, El Responsable se compromete a velar por la seguridad e integridad de la información. Para ello, se han implementado medidas técnicas y organizativas razonables que salvaguardan la información personal tanto en entornos en línea como fuera de línea. Estas medidas abarcan la encriptación, protocolos de ciberseguridad y procesos avanzados como la vectorización de la información.

La vectorización de la información es un proceso mediante el cual los datos ingresados por los usuarios en ARIEL son convertidos en representaciones numéricas denominadas vectores. Esta conversión permite que la información sea procesada y almacenada de manera eficiente y segura en las bases de datos de la organización.

El objetivo de este proceso es optimizar la interpretación y manipulación de los datos mediante algoritmos de inteligencia artificial y aprendizaje automático, asegurando su integridad y confidencialidad. Además, la vectorización está diseñada para limitar el acceso a los datos originales, manteniendo altos estándares de seguridad que garantizan un manejo controlado de la información.

Todos los vectores generados son almacenados en bases de datos seguras, protegidas mediante herramientas tecnológicas avanzadas y accesibles exclusivamente por el equipo autorizado de ARIEL. Esto asegura que los datos sean utilizados únicamente para las finalidades declaradas en esta política, cumpliendo con los principios de transparencia y protección del titular de los datos personales.

Artículo 21. Historial de chat y eliminación de datos.

El usuario tiene la opción de borrar manualmente cualquier chat en cualquier momento. Una vez que el usuario elimina el chat, toda la información asociada a esa conversación se borra automáticamente de nuestra base de datos, sin dejar rastro. Es responsabilidad exclusiva del usuario asegurarse de eliminar los chats cuando considere necesario para excluir cualquier rastro de su información.

Artículo 22. Aviso de responsabilidad del usuario.

ARIEL es una herramienta diseñada para facilitar el análisis y gestión de información legal mediante la utilización de inteligencia artificial. Si bien se han implementado medidas de seguridad y protocolos rigurosos para garantizar la calidad y precisión de los resultados, el uso de ARIEL es bajo la responsabilidad exclusiva del usuario.

Parágrafo I. El Responsable y su equipo no serán responsables por ningún daño directo, indirecto, incidental, especial, punitivo o consecuente que surja del uso o la incapacidad de uso de la plataforma ARIEL. Esto incluye, pero no se limita, a errores en los resultados, interrupciones en el servicio, pérdida de datos o cualquier otra afectación derivada de la utilización de la herramienta.

Título V. Procedimiento para la recepción y resolución de consultas y reclamos

Artículo 23. Legitimación para el ejercicio de los derechos del titular.

Los derechos del titular podrán ejercerse por las siguientes personas:

a) Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que ponga a disposición el responsable.

b) Por sus causahabientes, quienes deberán acreditar tal calidad.

c) Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.

d) Por estipulación a favor de otro o para otro.

e) Los derechos de los niños, niñas o adolescentes se ejercerán por las personas

que estén facultadas para representarlos.

Parágrafo I. El titular, sus causahabientes o el legitimado deberán anexar con la consulta o reclamo copia de su documento de identidad y los demás que considere necesarios para sustentar su requerimiento.

Parágrafo II. Si la consulta o reclamo se refiere a un titular fallecido, el cónyuge, compañero permanente y/o causahabientes, deben presentar la solicitud, anexando copia auténtica del registro civil de defunción del titular de la información y copia auténtica del registro civil que acredite el parentesco (de matrimonio, de nacimiento, etc.) o declaración extra-juicio en casos de unión marital de hecho.

Artículo 24. Consultas.

El titular de la información realizará las consultas a través de comunicación escrita o por medio del correo electrónico juridica@arielapp.co , soporte@arielapp.co, o cualquiera de las líneas de atención puestas a disposición de los usuarios, en la que: i) determine su identidad (nombre completo y número de identificación personal); ii) precise de manera clara, específica, detallada y fundamentada el objeto de la consulta; iii) establezca y acredite el interés legítimo con el que actúa, anexando siempre los soportes del caso, iv) informe dirección física y/o electrónica para recibir comunicaciones.

El Gerente General de ARIEL será el responsable de atender peticiones, consultas y reclamos relacionados con el tratamiento de datos personales. Esto incluye gestionar solicitudes de acceso, actualización, rectificación, supresión de datos y revocación de autorizaciones, de conformidad con la normativa vigente y los principios de protección de datos.

Para garantizar una gestión eficiente y adecuada, el supervisor de tratamiento de datos de la compañía contará con los recursos necesarios y recibirá capacitación constante en materia de protección de datos personales.

Cuando el ejercicio de derechos por parte de un titular se refiera a datos personales cargados por un usuario en calidad de corresponsable, SOLUCIONES INNOVATECH LEGAL S.A.S. podrá remitir la solicitud al usuario titular de la cuenta, quien será responsable de acreditar el origen, licitud y autorización de dicha información, y de adoptar las medidas necesarias para garantizar los derechos del titular. Esta remisión no implicará reconocimiento de responsabilidad.

Artículo 25. Reclamos.

El reclamo se formulará mediante solicitud dirigida a El Responsable, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. El titular, sus causahabientes u otra persona con un interés legítimo podrán presentar un reclamo por escrito o por medio de correo electrónico ante el área responsable, el cual contendrá:

a) la determinación de la identidad (nombre completo y número de identificación personal;

b) una precisión clara, específica, detallada y fundamentada del objeto del reclamo;

c) la manifestación del interés legítimo con el que actúa así como su acreditación, anexando siempre los soportes del caso,

d) la dirección física y/o electrónica para recibir comunicaciones.

Artículo 26. Corrección o actualización de datos personales del titular.

El reclamo consistente en la corrección de datos personales deberá contener además de los requisitos establecidos en el artículo anterior, la especificación de las correcciones a realizar y acompañarse de la documentación que avale su petición.

Artículo 27. Revocatoria parcial o total de la autorización del tratamiento.

Los titulares de datos personales tienen derecho a revocar la autorización cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y

legales, lo cual procederá en aquellos casos en los que presentada la solicitud, El Responsable así lo determina o en los cuales, la autoridad de protección de datos personales lo ordene.

No obstante, si El Responsable considera que no es procedente la revocación así lo informará mediante comunicación motivada. Por su parte, revocada la autorización, El Responsable procederá a eliminar de las bases de datos respectivas las informaciones en ellas contenidas, de acuerdo con esta Política.

Artículo 28. Supresión de datos personales.

Los titulares de datos personales tienen derecho a la supresión de estos cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

El reclamo consistente en la solicitud de supresión de datos personales deberá contener además de los requisitos establecidos en los artículos anteriores, la identificación de los datos cuya supresión se pretende y procederá en aquellos casos en los que El Responsable así lo determine o en los cuales la autoridad de protección de datos personales lo ordene.

Artículo 29. Improcedencia de la solicitud de supresión de los datos o revocatoria de la autorización.

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

Artículo 30. Programa Integral de Gestión y Supervisión de Datos Personales.

En cumplimiento del principio de Responsabilidad Demostrada (Accountability), ARIEL S.A.S. se compromete a implementar y mantener un Programa Integral de Gestión de Datos Personales (PIGDP) diseñado para garantizar el cumplimiento efectivo de la Ley 1581 de 2012 y sus decretos reglamentarios. Este programa se fundamenta en los siguientes procedimientos internos de obligatorio cumplimiento:

a) Designación del Oficial o Supervisión de Protección de Datos Personales: ARIEL. designará a una persona o área que asumirá la función de Oficial de Protección de Datos Personales. Aunque la ley no exige un perfil específico, se nombrará a un profesional idóneo, quien tendrá, como mínimo, las siguientes responsabilidades estratégicas:

Informar y asesorar a la empresa sobre sus obligaciones legales en materia de protección de datos.

Estructurar, diseñar, administrar y supervisar la implementación efectiva del PIGDP en todas las áreas de la organización.

Servir de enlace y coordinador entre las distintas áreas para asegurar una implementación transversal del programa.

Dar trámite a las consultas y reclamos de los Titulares de los datos.

Impulsar una cultura de protección de datos dentro de la organización

b) Programa de capacitación y educación: Se adoptarán mecanismos internos para poner en práctica las políticas de tratamiento de la información, incluyendo la implementación de un programa de entrenamiento y educación continuo y obligatorio. Dicho programa deberá:

Realizar un entrenamiento general en protección de datos para todos los funcionarios de ARIEL.

Proveer formación específica y pertinente para el personal que tenga acceso permanente o habitual a datos personales.

Asegurar que los nuevos funcionarios con acceso a datos personales reciban la capacitación correspondiente al momento de su ingreso.

c) Supervisión, Auditoría y Revisión Periódica: Se establecerá un sistema de supervisión y vigilancia interna para comprobar el cumplimiento de las políticas de protección de datos personales. Este sistema incluirá:

Una revisión periódica de las políticas y programas de seguridad de datos para determinar las modificaciones que se requieran.

La promoción e implementación de planes de auditoría interna para verificar el cumplimiento efectivo de las políticas de tratamiento de la información .

El Oficial de Protección de Datos Personales realizará un seguimiento mensual al estado de implementación y eficacia del PIGDP y rendirá los informes correspondientes a la alta dirección.

d) Gestión de riesgos y medidas de seguridad: Se promoverá la elaboración e implementación de un sistema que permita administrar los riesgos asociados al tratamiento de datos personales. La empresa se compromete a revisar y evaluar permanentemente los mecanismos adoptados para medir su nivel de eficacia en la protección de los datos.

Artículo 31. Procedimiento para atender consultas.

Cuando se presente una consulta, se actuará así:

i. Gestión Documental entregará en forma física y/o electrónica la consulta al supervisor de tratamiento de datos personales, quien prestará atención la consulta.

ii. El supervisor de datos personales revisará, dentro de los dos (2) días hábiles siguientes, que la consulta se haya presentado por el titular de la información o quien esté legitimado.

iii. Si la consulta no cumple con todos los requisitos de legitimidad en la causa establecidos en la presente Política, esta no se atenderá y se informarán los motivos al remitente.

iv. Si la consulta cumple con los requisitos legitimidad en la causa establecidos en la presente Política, se analizará el objeto de esta para determinar si se requiere el suministro de información y/o apoyo de otra área de la compañía. De ser así, el

Supervisor de datos personales remitirá por correo electrónico la consulta al jefe de la respectiva área para que, en el término de dos (2) días hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.

v. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se resolverá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Artículo 32. Procedimiento para atender reclamos.

Cuando se presente un reclamo, se deberá cumplir con el siguiente procedimiento:

i. Gestión Documental entregará en forma física y/o electrónica el reclamo al Supervisor de tratamiento de datos personales, quien se la asignará inmediatamente al profesional encargado de la política de protección de datos personales.

ii. El Supervisor de tratamiento de datos personales revisará, dentro de los dos días hábiles siguientes, que el reclamo se haya presentado por el titular de la información o quien esté legitimado para ello.

iii. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción de este para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

iv. En caso de que El Responsable no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación al interesado.

v. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a cinco (5) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

vi. Se analizará el objeto del reclamo para determinar si se requiere el suministro de información y/o apoyo de otra área de la compañía. De ser así, el Supervisor de tratamiento de datos personales remitirá por correo electrónico el reclamo al jefe de la respectiva área para que, en el término de dos hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.

vii. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se resolverá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Título VI. Biblioteca Personalizada.

Artículo 33. Recopilación de datos.

ARIEL Biblioteca Personalizada es el entorno donde se cargan y vectorizan los documentos propios del usuario, permitiéndole interactuar con ARIEL en calidad de asistente legal con IA. Dichos documentos pertenecen exclusivamente al usuario, sin que El Responsible adquiera derecho alguno de propiedad sobre ellos.

El usuario le otorga a El Responsable una licencia no exclusiva, temporal y limitada a la vigencia del contrato, que nos autoriza a recibir, almacenar, procesar y organizar tales documentos para el correcto funcionamiento del servicio.

Todos los archivos se cargan de manera temporal y se conservarán en la plataforma durante la vigencia de la relación contractual y el periodo posterior acordado por las partes, el cual se encuentra consagrado en el contrato de prestación de servicios de ARIEL Biblioteca Personalizada.

Parágrafo I. El usuario es el único responsable de verificar que los documentos que cargue en ARIEL sean adecuados, completos y pertinentes para los fines que persigue.

El Usuario se compromete a suministrar información que no infringe derechos de terceros ni incumple disposiciones legales. Ante cualquier reclamación de terceros vinculada con los documentos aportados, el usuario mantendrá indemne a El Responsable.

Artículo 34. Restricción de acceso a la información.

Los documentos que sean subidos a ARIEL Biblioteca Personalizada serán destinados

exclusivamente para el uso personal del usuario y el número de licencias contratadas.

En caso de que el usuario desee eliminar uno o varios documentos previamente cargados en la Biblioteca Personalizada durante la vigencia del contrato, deberá presentar una solicitud formal dirigida al Gerente General indicando de manera precisa los documentos a eliminar. Una vez verificada la titularidad de la cuenta y la procedencia de la solicitud, se procederá con la supresión definitiva de los documentos.

Ante la terminación del contrato, El Responsable conservará una copia de respaldo de la información por un término de treinta (30) días calendario. Si dentro de dicho término el usuario no solicita su devolución, la información será eliminada de manera segura y definitiva, salvo que medie instrucción en contrario.

Artículo 35. Indemnidad frente al tratamiento de datos de terceros.

El usuario declara que la información cargada en ARIEL ha sido obtenida de manera lícita y con plena observancia de la normatividad sobre protección de datos personales. En caso de que se presenten investigaciones, sanciones, requerimientos o reclamaciones judiciales o administrativas, por parte de titulares de datos personales o autoridades de control, asociadas a la información proporcionada por el usuario, este se obliga a asumir toda la responsabilidad legal y mantendrá indemne a SOLUCIONES INNOVATECH LEGAL S.A.S. frente a cualquier tipo de daño, sanción, multa, indemnización o gasto en que pueda incurrir.

Título VII. Disposiciones finales

Artículo 36. Temporalidad del tratamiento.

El tratamiento de los datos personales por parte de El Responsable se realizará hasta el cumplimiento de (las) finalidad(es) para la(s) cual(es) se autorizó, hasta la existencia del perfil en la plataforma o hasta cuando resulte procedente por disposición legal o contractual.

Artículo 37. Vigencia y actualizaciones. La presente política para el tratamiento de datos personales entra en vigor el siete (07) del mes de febrero (02) de 2026. La vigencia de las bases de datos es el tiempo razonable y necesario para cumplir las finalidades del tratamiento, teniendo en cuenta la regulación existente.