Privacy Policy – Colombia

1 Declaración de la Política

IGT Services and Technologies Colombia S.A.S, en adelante “IGT”, está comprometido con respetar la privacidad y diferencia entre la necesidad de seguridad apropiada de cualquier información personal (“Información Personal”) de sus empleados, candidatos, clientes, clientes finales, visitantes y proveedores. IGT aspira a cumplir con las leyes aplicables que estén diseñadas para proteger la privacidad individual.

1.1 RESPONSABLE DEL TRATAMIENTO

El Responsable del Tratamiento bajo esta política de privacidad es IGT Services and Technologies Colombia S.A.S. o IGT, una compañía identificada con el N.I.T 901.148.432-3, domiciliada en Bogotá D.C., en la Diagonal 25G No. 95ª-85 Edificio Buro 25- Torre 2 – Suite 101, con la siguiente información de contacto:

IGT recolecta, usa, almacena, transfiere y elimina (conforme a la ley aplicable) Información Personal e Información Personal Sensible en relación con sus empleados / candidatos / contratistas / consultores (de tiempo completo o por medio tiempo), clientes, usuarios, visitantes y proveedores para sus finalidades comerciales.

Ya que IGT recolecta esta Información Personal de Titulares y define los términos y condiciones del tratamiento, obtiene la calidad de Responsable del Tratamiento de Información Personal de empleados, candidatos, clientes visitantes y proveedores.

1.2 ENCARGADO DEL TRATAMIENTO

IGT realiza el tratamiento de la Información Personal de sus clientes y los consumidores de sus clientes de conformidad con las instrucciones de sus clientes en virtud de su relación contractual, razón por la cual, el rol de IGT se limita al de Encargado del Tratamiento. Cualquier Información Personal recolectada por IGT como Encargado del Tratamiento es almacenada en las bases de datos de los clientes y de acuerdo con sus políticas de tratamiento de datos y la ley aplicable. En consecuencia, como Encargado del Tratamiento, IGT reconoce los derechos de los Titulares.

2 Propósito General

El propósito de esta política es estipular cómo IGT deberá tener un acercamiento sistemático cuando trabaje con Privacidad/Protección de datos para asegurar los siguientes propósitos:

  • Que los empleados, candidatos, usuarios, clientes, visitantes y proveedores se sientan seguros con el tratamiento que IGT le da a su Información Personal (en su rol de Responsable del Tratamiento) y en consecuencial, a la Información Personal de sus empleados, agentes, representantes legales, etc.
  • Asegurar el cumplimiento de la normatividad aplicable sobre Privacidad/Protección de Datos Personales.

3 Objetivos Específicos

  • IGT está comprometido con cumplir sus obligaciones bajo las leyes de Privacidad/Protección de datos aplicables. IGT aspirará por observar las leyes durante la recolección y tratamiento de la información y cumplirá con cualquier solicitud en cumplimiento con estas reglas.
  • IGT sólo usará los datos de maneras pertinentes para cumplir sus propósitos legítimos de manera tal que no sea perjudicial para los intereses de las personas, proteja el derecho de habeas data y haya sido autorizado por el Titular.
  • IGT será cuidadoso durante la recolección y almacenamiento de todos los datos sensibles.
  • IGT será cuidadoso durante la recolección y almacenamiento de los datos de niños, niñas y adolescentes, asegurando que se respeten los derechos de dichos niños, niñas y los adolescentes.
  • Los empleados de IGT y, cuando sea apropiado, sus representantes mantendrán todos los datos de manera precisa, oportuna y segura.
  • Todos los empleados de IGT y sus representantes, bien sea de manera permanente o temporal, deberán ser conscientes de los requisitos de la Política de Tratamiento de Datos de IGT al momento de la recolección o tratamiento de datos de un individuo.
  • Los empleados y representantes de IGT deberán no divulgar los datos salvo cuando obtenga el consentimiento del Titular, o en virtud de un requerimiento legal. Los datos enviados a agencias externas siempre deben estar protegidos por un contrato escrito. Toda la recolección y procesamiento debe hacerse con fundamento en un interés legítimo.
  • El Oficial de Protección de Datos (DPO por sus siglas en ingles “The Data Protection Officer”), mantendrá un registro de todas las solicitudes de acceso a los datos. Deberá haber un depósito de las declaraciones de IGT de la Política de Privacidad de Datos. Esta información deberá estar disponible para los empleados pertinentes y a los Titulares de datos objeto de solicitud.
  • IGT deberá mantener todas las declaraciones de privacidad actualizadas.

4 Alcance

La política aplica a todo tipo de dato personal recolectado, almacenado y tratado por IGT Services and Technologies Colombia S.A.S. Esta política se ha desarrollado de conformidad con los requisitos de la Ley 1581 de 2012 y el Decreto 1377 de 2013

Adicionalmente, todos los titulares de datos como empleados, candidatos, clientes, visitantes, proveedores y o cualquier persona de quien IGT recolecte y trate datos personales, en adelante los ‘Titulares de Datos’, están cubiertos por esta política.

5 Definiciones

  • Autorización: Consentimiento previo, expreso e informado otorgado por el Titular de Datos para permitir el tratamiento de su Información Personal.
  • Base de Datos: Conjunto organizado de Información Personal.
  • Responsable del Tratamiento: Cualquier persona natural o jurídica, de naturaleza privada o pública, que directamente o mediante en asociación con otro, tome decisiones con relación a las Bases de Datos y/o el procesamiento de Información Personal.
  • Encargado del Tratamiento: Cualquier persona natural o jurídica, de naturaleza privada o pública, que directamente o mediante en asociación con otro, realice el tratamiento de Información Personal, por cuenta del Responsable del Tratamiento.
  • Titular: Toda persona natural cuya Información Personal sea objeto de tratamiento.
  • Información Personal: Cualquier información relacionada o que pueda ser asociada con una o varias personas naturales determinadas o determinables.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre Información Personal, tales como la recolección, almacenamiento, uso circulación o supresión.
  • Información Personal Sensible: Cualquier información que afecte la intimidad de una persona en específico y cuyo puede generar su discriminación. La Información Personal Sensible puede ser información sobre el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como de datos relativos a la salud, la vida sexual y los datos biométricos.

6 Aplicabilidad para IGT

6.1 ¿DE DÓNDE RECOLECTAMOS LA INFORMACIÓN DEL TITULAR?

Recolectamos la Información Personal de los Titulares:

  • Directamente del Titular cuando nos la proporciona; y/o
  • Por parte de terceros a quienes usted haya previamente autorizado para transferir su Información Personal (i.e. LinkedIn, elempleo.com, entre otros); y/o
  • Automáticamente mientras el Titular navega por nuestra página web (la información recolectada de manera automática puede incluir detalles de uso, direcciones IP e información recolectada mediante cookies, contadores de visitas y otras tecnologías de seguimiento).

6.2 ¿CON QUÉ PROPÓSITO USAMOS LA INFORMACIÓN QUE RECOLECTAMOS?

Usamos la información que recolectamos de y sobre el Titular para una variedad de propósitos, dentro de los cuales se incluyen:

Para empleados y candidatos:

  • Recolectar y retener, la Información Personal al momento de su vinculación, durante el término del contrato laboral y en la cesación del vínculo laboral, incluyendo información de identificación personal (como el nombre, segundo nombre, apellido, dirección de correo electrónico, información de su familia, información académica, financiera, historia laboral, detalles sobre viajes, información de salud, etc.) para los propósitos legítimos de IGT.
  • Monitorear la comunicación por medio de correo electrónico de IGT, el uso de internet en los espacios de trabajo, llamadas telefónicas, y comprobaciones de acceso físicas y oportunas en el portal y puertas de acceso, así como también todo tipo de grabación en video dentro del acceso mencionado anteriormente, asegurando el cumplimiento de las leyes de protección de datos personales.
  • Compartir la Información Personal internamente con otras entidades del grupo de IGT o externamente con terceros con quienes IGT tenga relaciones contractuales para los propósitos de procesamiento de salarios, realizar verificaciones de antecedentes, otras actividades administrativas y requisitos comerciales legítimos.
  • Retener Información Personal inclusive después de la terminación del vínculo laboral solo si es requerido bajo las leyes aplicables.
  • Recolectar, tratar y retener Información Personal que pueda ser calificada como información sensible, incluyendo pero sin limitarse a información biométrica, tipo de sangre y RH, entre otras.
  • Recolectar, procesar y retener Información Personal de niños, niñas y adolescentes sobre los cuales los empleados ejerzan representación legal y exclusivamente para los propósitos relacionados con su relación laboral con IGT.
  • Facilitar operaciones diarias de IGT ya sean llevadas a cabo al interior de IGT o en una ubicación remota incluyendo pero sin limitarse a actividades cotidianas y funciones administrativas o de viajes.
  • Facilitar operaciones de recursos humanos, incluyendo pero sin limitarse al procesamiento de salarios y hojas de nómina, procesamiento de beneficios de empleados, verificación de antecedentes, procesamientos de visas para extranjeros.
  • En material producido por o por cuenta de IGT, primordialmente destinado al uso interno o presentaciones a clientes o para exhibir en las instalaciones de sus oficinas o en la página web de la compañía o para la circulación a entre cualquiera o todo el personal actual, pasado o futuro.
  • Facilitar servicios médicos para empleados y seguridad física en las instalaciones de sus oficinas.
  • Facilitar el uso y personalización del portal IGT/ su página web/ herramientas de IGT incluyendo pero sin limitarse a cualquier problema técnico y su arreglo.
  • Facilitar cualquier requerimiento comercial legitimo por parte de IGT (incluyendo compartir Información Personal con entidades transfronterizas de IGT o terceros con una razón comercial válida).
  • Compartir la Información Personal con clientes a sus oficinas para cumplir requisitos comerciales contractuales y legítimos.
  • Prevención de actos ilegales en relación con la Información Personal del Titular.
  • Cumplimiento de obligaciones estatutarias, contestación de demandas, atención de citaciones judiciales, ordenes de juez competente o procesos judiciales, proporcionar información a agencias de la fuerza pública o en conexión con investigaciones en materias relacionadas con seguridad pública.
  • Motivos de seguridad al interior de las oficinas de IGT, para cuyo propósito IGT ha decido implementar un sistema de video vigilancia.
  • Publicación de mi foto, pertinente a mi relación laboral o en relación con mis servicios, mediante medios digitales o físicos, en las instalaciones o propiedades de IGT y sus clientes, bien sean de manera digital o física.
  • Transferir o transmitir la Información Personal, localmente o al exterior, a otras compañías parte del Grupo IGT o a terceros para los propósitos legalmente autorizados incluyendo los propósitos mencionados arriba y los requerimientos comerciales.

Para clientes:

  • Proporcionar información sobre (incluyendo pero sim limitarse a) servicios de viajes, administrativos, médicos, laborales, y a procesar y responder sus inquietudes.
  • Entender nuestros clientes (lo que hacen en nuestros Servicios, las herramientas que les gustan, cómo ellos las usan, etc.), mejorar nuestro contenido y aplicaciones de nuestros Servicios (como por ejemplo mediante la personalización de contenido en relación con sus intereses), procesar y completar sus transacciones y hacer ofertas específicas.
  • Cumplir compromisos comerciales.
  • Administrar nuestro sitio web y proporcionar servicios, así como el diagnóstico de problemas técnicos.
  • Enviar comunicaciones a los clientes que hayan solicitado o que puedan ser interesantes para ellos mediante correos electrónico, correo, llamadas telefónicas, o cualquier otro medio de comunicación. También podemos compartir sus preferencias, o los servicios avalados por los clientes con sus seguidores en la red IGT para temas de marketing y otras actividades promocionales de nuestros servicios.
  • General y revisar los reportes y datos sobre y para conducir investigaciones sobre nuestros Servicios y patrones de uso de dichos Servicios.
  • Administrar concursos y promociones.
  • Brindarle servicio al cliente.
  • Proporcionar las políticas sobre la cuenta del cliente.
  • Cumplir con nuestras obligaciones y ejercer nuestros derechos en virtud de los contratos celebrados IGT y sus clientes, incluyendo la facturación y cobro.
  • Notificar al cliente sobre cambios en nuestros Servicios.
  • Para cualquier otro propósito con su consentimiento.
  • Adoptar medidas de control de acceso a las oficinas de IGT y como parte de la operación del sistema de video vigilancia.
  • También podemos usar su información para contactarlo en relación con bienes y servicios nuestros o de terceros que puedan ser de su interés.
  • Transferir o transmitir la Información Personal, localmente o al exterior, a otras compañías parte del Grupo IGT o a terceros para los propósitos legalmente autorizados incluyendo los propósitos mencionados arriba y los requerimientos comerciales.

Para clientes finales:

  • Transferir o transmitir la Información Personal, localmente o al exterior, a otras compañías parte del Grupo IGT o a terceros para los propósitos legalmente autorizados incluyendo los propósitos mencionados arriba y los requerimientos comerciales.
  • IGT normalmente actúa como encargado del cliente, en estos casos, en consecuencia, como encargado del tratamiento, todos los propósitos del tratamiento de la información están sujetos a la autorización del Titular y a las instrucciones suministradas a IGT por el Responsable del Tratamiento.

Para proveedores:

  • Cumplir compromisos comerciales.
  • Cumplir con nuestras obligaciones y ejercer nuestros derechos en virtud de los contratos celebrados IGT y sus proveedores, incluyendo la facturación y cobro.
  • Entender a nuestros proveedores y mejorar las relaciones comerciales que IGT tiene con ellos.
  • Transferir o transmitir la Información Personal, localmente o al exterior, a otras compañías parte del Grupo IGT o a terceros para los propósitos legalmente autorizados incluyendo los propósitos mencionados arriba y los requerimientos comerciales.

Para visitantes:

  • Identificar los visitantes a las instalaciones de IGT por fines de seguridad, mantener el control de las personas que entran y cuándo salen de sus oficinas. . En caso de emergencia, los datos personales suministrados por el visitante serán usados para asistirlo.

Todos los datos personales suministrados a IGT serán conservados por el tiempo necesario para que los fines para los cuales fueron suministrados, se cumplan.

6.3 ¿CÓMO COMPARTIMOS LA INFORMACIÓN QUE RECOLECTAMOS?

Nosotros podremos divulgar la Información Personal que recolectemos o que proporcione el Titular según se describe en esta política de tratamiento, de las siguientes maneras:

Divulgación de Información General

  • Para nuestra casa matriz, subsidiarias y afiliadas, que son entidades bajo un mismo control o propiedad común de nuestra matriz IGT.
  • Para contratistas, publicitas / proveedores de servicios y otros terceros a quienes usemos para apoyar nuestro negocio (e.j. servicios relacionados con viajes) a que están vinculados por obligaciones contractuales a mantener confidencial la Información Personal y a usarla únicamente para los propósitos por los cuales les fue transmitida.
  • Al comprador u otros sucesores en eventos de fusión, venta de activos, restructuración, reorganización u otra venta o transferencia de alguno o todos los activos de IGT, bien sea como una empresa en funcionamiento o en el curso de un proceso de insolvencia, liquidación o proceso similar, en el que la Información Personal retenida por IGT sobre los clientes de nuestros servicios, empleados, visitantes, contratistas, entre otros, se encuentren dentro de los activos transferidos.
  • A terceros para comercializar sus productos o servicios con el Titular siempre que lo haya autorizado al recibir actualizaciones promocionales.
  • Para cumplir el propósito para el cual el Titular proporciono la información.
  • Proveedores de Servicios: Nosotros podemos compartir su información con proveedore externos para una variedad de propósitos, como enviarle correos electrónicos y mensajes al Titular en nombre de otros miembros de IGT, enviarle notificaciones a su dispositivo móvil en nuestro nombre, proporcionarle servicios de reconocimiento de voz para procesar sus consultas y preguntas orales, ayúdenos a analizar el uso de nuestros Servicios, y procesos, y cobrar pagos y realizar encuestas.
  • Propósitos Legales: Nosotros podemos compartir la Información Personal cuando de buena fe creamos que tal transferencia es necesaria para investigar, prevenir o tomar acción en relación con actividades posiblemente ilegales o para cumplir con procedimientos legales de conformidad con la ley aplicable. También, podemos compartir información para investigar y atender amenazas o posibles amenazas a la seguridad de cualquier persona, para investigar y atender violaciones a esta Política de Privacidad, o para investigar y atender violaciones de los derechos de terceros y/o proteger los derechos, propiedad y seguridad de IGT, nuestros empleados, usuarios o el público. Esto puede involucrar compartir su información con agencias gubernamentales, jueces competentes, y/u otras organizaciones en virtud de requerimientos legales como citaciones judiciales, órdenes judiciales u ordenes gubernamentales para cumplir con la ley.
  • Redes sociales: Si el Titular interactúa con herramientas de redes sociales en nuestra página web, como el botón de “Me Gusta” de Facebook, o el uso de sus credenciales de redes sociales para iniciar sesión o colgar información acerca de sus actividades en el servicio de redes sociales. Las interaccione del Titular con compañías de redes sociales están regidas por sus políticas de privacidad.
  • Si creemos que la divulgación de información es necesaria o apropiada para proteger los derechos, propiedad o seguridad de IGT, de nuestros clientes u otros. Esto incluye el intercambio de información con otras compañías y organizaciones para los propósitos de protección de fraude y reducción de riesgos de crédito.
  • Podemos compartir su información en cualquier otra circunstancia donde tengamos su consentimiento.

7 Organización de la Estructura de Protección de Datos

En todo caso, en el nivel colombiano, nuestro departamento de Excelencia Empresarial estará a cargo de asegurarse del cumplimiento de esta política y la regulación aplicable en materia de protección de datos. Particularmente en relación con asuntos de violación de datos, el Grupo Principal de Administración para Protección de Datos (DPMCG – por sus siglas en inglés (Data Protection Management Core Group)) deberá responder, analizar y dar manejo a los incidentes de privacidad al interior de IGT.

8 Principios de Protección de Datos

Cualquier tratamiento de datos en IGT estará sujeto y seguirá los principios de Protección/Privacidad de Datos establecidos en las leyes de protección de datos:

  • Legalidad: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
  • Finalidad: IGT le informará al Titular, a más tardar en el momento de la recolección de su Informacional Personal, cuáles son los propósitos legítimos bajo la Ley colombiana.
  • Libertad: IGT sólo procesará la Información Personal en los términos en que el Titular haya autorizado mediante consentimiento previo, expreso e informado. Cualquier divulgación o recolección de Información Personal requiere de autorización previa, a menos de que haya sido autorizada por la ley o mandato judicial.
  • Veracidad o cualidad: La Información Personal deberá ser veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Principio de transparencia: Usted tiene el derecho a obtener de IGT en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
  • Acceso y circulación restringida: El tratamiento de la Información Personal está sujeto a las restricciones y limitaciones que surjan de la naturaleza de su Información Personal, la Ley y la Constitución colombianas. En ese orden de ideas, el tratamiento solo puede ser realizado por una persona natural o jurídica debidamente autorizada, bien sea que dicha autorización sea otorgada por el Titular o por la ley. La Información Personal no estará disponible en internet ni en ningún otro medio de comunicación masiva a menos que IGT pueda garantizar la seguridad de la información y el acceso restringido a tales datos por el Titular y cualquier otro tercero autorizado.
  • Seguridad: IGT procesará su Información Personal siguiendo los procedimientos técnicos y bajo los medios técnicos disponibles para garantizar la seguridad de sus datos, impidiendo la adulteración, perdida, consulta, uso o acceso no autorizado.
  • Confidencialidad: Cualquier persona que participe o intervenga durante el procesamiento de su Información Personal está obligada a garantizar la confidencialidad de sus datos, incluso después de la terminación del vínculo contractual por el cual dicha persona haya participado o intervenido en el tratamiento.

9 Derechos del Titular

IGT es consciente de la libertad de los Titulares y está comprometida con la valoración de sus derechos conforme a las leyes/regulaciones aplicables. A continuación se describen los derechos concedidos a los Titulares bajo la Ley 1581 de 2012 y el Decreto 1377 de 2013.

  • Conocer, actualizar y rectificar su Información Personal ante IGT.
  • Solicitar prueba de la autorización otorgada a IGT para el tratamiento su Información Personal.
  • Ser informado por la Compañía, previa solicitud realizada por el Titular, respecto del uso que se le está dando a su Información Personal.
  • Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez adelantados los procedimientos de consulta y reclamos de conformidad con esta Política y la ley.
  • Revocar la autorización otorgada a IGT para el tratamiento de Información Personal y/o solicitar la supresión de cualquier Información Personal cuando su tratamiento no se realice de acuerdo con los principios, derechos y garantías legales y constitucionales.
  • Libremente acceder la Información Personal objeto de tratamiento por IGT.

10 Información Personal Sensible

IGT puede procesar Información Personal Sensible si el Titular expresa y previamente lo autoriza o en los casos en que el procesamiento de tales datos esté permitido por la Ley. Particularmente IGT podrá procesar la siguiente Información Personal Sensible y exclusivamente bajo el propósito mencionado a continuación:

  • Información Médica: Esto incluye información como su tipo de sangre y RH, que es requerida para emergencias, e información obtenida durante cualquier examinación médica regulada por la Resolución 2346 de 2007 y cualquier otra regulación complementaria.
  • Huellas Digitales: Son requeridas para propósitos de identificación.

Mediante esta Política y otorgando su consentimiento el Titular reconoce que IGT le ha informado sobre: (i) cuál de la Información Personal que será recolectada es considerada como Información Personal Sensible; (ii) los propósitos de dicho tratamiento; y (iii) que el Titular no está obligado a proporcionar dicha información, salvo por los casos previstos en la ley aplicable.

11 Información Personal de Niños y Adolescentes:

IGT podrá procesar Información Personal de niños, niñas y adolescentes obtenida de sus representantes legales. Los servicios de IGT no están diseñados para ser usados por menores de edad. La única Información Personal de niños, niñas y adolescentes para ser recolectada y tratada por IGT es información relacionada con los hijos de los empleados de IGT y exclusivamente en relación con las obligaciones de seguridad social y la relación laboral entre IGT y sus empleados.

En cualquier caso, IGT respetará los derechos de los niños, niñas y adolescentes y se cerciorará de que sus derechos prevalezcan durante el tratamiento de su Información Personal.

12 Transferencia y Transmisión de Información Personal

  • Las solicitudes para la divulgación de cualquier Información Personal e Información Personal Sensible sólo serán procesadas una vez IGT esté completamente seguro de que el solicitante o recipiente está autorizado para recibir la información. Se tomarán las medidas para garantizar que la divulgación tiene una base legal.
  • IGT puede transferir Información Personal Sensible o Información Personal incluyendo cualquier información, a cualquier otra sociedad o a persona en Colombia, o ubicada en cualquier otro país que garantice el mismo nivel de protección de datos al que esta adherido a IGT, tales como India y Filipinas. La transferencia puede permitirse solo si es necesaria para la ejecución de un contrato legal entre IGT por su cuenta y un proveedor de información o cuando tal persona (el Titular) haya consentido en la transferencia de datos.
  • IGT no permitirá que los datos sean recolectados para que sujetos la divulguen a terceros, excepto en las circunstancias, donde se cumplan los requisitos de la Política de Tratamiento de IGT. Esto podrá suceder cuando:
    o El Titular haya autorizado la divulgación.
    o IGT tenga una obligación legal de divulgación.
    o Exista un requerimiento comercial de divulgar datos que este dentro del contenido de la Política de Tratamiento de IGT y que no sea perjudicial para los intereses del individuo.
  • La transferencia y transmisión de cualquier dato recolectado por IGT solo tendrá lugar cuando el sujeto haya sido informado sobre el uso de sus datos.
  • Ocasionalmente la información relevante para una consulta debe ser buscada de otras organizaciones. Bajo estas circunstancias una organización puede solicitarla a un oficial de IGT, especificando específicamente la información buscada y porque se busca. La Información Personal y la Información Personal Sensible puede estar eximida de las disposiciones de la política en casos donde la divulgación sea requerida por una autoridad administrativa o judicial.
  • Estas excepciones sólo aplican para los casos en que de no divulgar los datos, probablemente se genere un prejuicio en las investigaciones.
  • Las organizaciones gubernamentales /Autoridad Legal puede notificar a la compañía para acceder información retenida.

13 Seguridad para la Privacidad de la Información

Con el propósito de salvaguardar la privacidad de la información, física y electrónica, IGT deberá contar con medidas de seguridad apropiadas como:

  • IGT deberá garantizar que toda Información Personal sea asegurada de manera apropiada y adecuada, en contra de pérdida, acceso no autorizado, uso, modificación o divulgación, y otros usos indebidos mientras se almacena, circula y durante el tratamiento.
  • La Información Personal electrónica deberá estar sujeta a controles estrictos, como claves, encriptación, registros de acceso, copias de seguridad, etc.
  • Pantallas, impresiones, documentos y archivos que muestren Información Personal, no deben ser visibles para personas no autorizadas.
  • Se debe mantener una copias personales de papel guardada en gabinetes cerrados con llave, cuartos cerrados o cuartos con acceso limitado.
  • Sujeto a guías de retención, las copias personales de papel deberán ser destruidas mediante trituración confidencial una vez expire el periodo de retención.
  • Cuando se esté mejorando o cambiando el computador personal, el personal de IGT deberá asegurarse que el disco duro quede vacío/limpio.
  • Deben emplearse controles razonables cuando las laptops y computadores personales que contengan Información Personal sean usados por fuera de las instalaciones de la compañía.
  • La divulgación de Información Personal a un Encargado del Tratamiento, sólo puede hacerse bajo un contrato escrito que especifique las reglas de seguridad que deban seguirse.

El enfoque de la compañía en relación con la administración de la seguridad de la información está contenido en documentos separados. Para más detalles por favor consulte “Política de Seguridad de la Información”.

Vigilancia en las Oficinas de IGT

• IGT puede tener un interés legítimo en monitorear el comportamiento de sus empleados y visitantes según la ley aplicable. IGT puede llegar a monitorear con el propósito de prevenir o detectar cualquier actuación ilegal:

o Detectar acoso u otro tipo de comportamiento inapropiado;
o Monitorear el desempeño de sus empleados cuando esto sea apropiado;
o Monitorear los correos electrónicos/el internet, las cámaras de CCTV y detectar la transmisión al exterior de información confidencial;
o Prevenir y detectar hurtos a la propiedad de IGT.

• IGT informará en cada espacio físico que este siendo monitoreado que las personas están siendo grabadas para cumplir con los propósitos de esta política, mencionando los derechos del Titular y donde encontrar la política de tratamiento.

14 Retención y Supresión de Datos

IGT se compromete a mantener la Información Personal durante un tiempo mínimo cómo se especifica en los procesos específicos de la función / departamento o sólo durante el tiempo que sea necesario para lograr los propósitos identificados. La Información Personal recolectada por IGT se destruye cuando su uso ya no es necesario para el tratamiento según la ley aplicable. Dicha destrucción debe:

  • Ser de una manera suficiente para prevenir el acceso no autorizado a esa Información Personal; o
  • Garantizar que la Información Personal sea anonimizada.

15 Procesos de Consulta y Reclamación

IGT, aplicando la Ley 1581 de 2012 y el Decreto 1377 de 2013, ha determinado el siguiente procedimiento para garantizar que los Titulares tengan la posibilidad de ejercer sus derechos mencionados en la Sección 9.

Cualquier solicitud para consulta, actualización, supresión, o cualquier reclamación deberá ser hecha por el Titular al Oficial de Protección de datos (DPO por sus siglas en ingles “Data Protection Officer) de la mano con el Departamento de Excelencia Empresarial mediante una solicitud escrita.

Cualquier Titular interesado en consultar su Información Personal, deberá presentar una consulta a través de los medios habilitados por IGT.

IGT tendrá un término máximo de diez (10) días hábiles siguientes al recibo de la solicitud para suministrar la Información Personal al Titular. Si la Compañía prevé que no podrá atender y decidir la solicitud durante este término, deberá informar de dicha situación al Titular, mencionando las razones del retraso y fijando una nueva fecha en la cual será resuelta la solicitud. En ningún caso este término adicional superará los cinco (5) días hábiles siguientes al vencimiento del término inicial.

Adicionalmente, cualquier Titular o parte autorizada podrá presentar reclamos para solicitar la actualización, corrección o supresión de su Información Personal. Para este fin, el Titular deberá remitir una reclamación que contenga como mínimo:

  • La identificación del Titular; nombre completo, numero de cedula de ciudadanía o pasaporte, número telefónico, dirección y dirección de correo electrónico.
  • La descripción del hecho que fundamenta la reclamación o solicitud.
  • Los documentos que el Titular pretende hacer valer.

Si la solicitud no tiene suficiente información para ser evaluada, IGT solicitará al Titular que suministre la información pendiente dentro de los 5 días hábiles siguientes a la recepción de la solicitud. El Titular tendrá 2 meses para presentar la información solicitada, de lo contrario IGT entenderá que el Titular ha retirado la solicitud.


Si por cualquier circunstancia, IGT recibe una solicitud que no debía estar dirigida a ella, IGT enviará la solicitud a quien corresponda dentro de los 2 días hábiles siguientes a la recepción de la solicitud e informará al Titular de tal situación.

Una vez se reciba la solicitud completa, IGT incluirá en sus Bases de Datos una leyenda indicando la solicitud en curso y su motivo, dentro de los 2 días siguientes a la recepción de la solicitud completa. Dicha leyenda permanecerá hasta que se decida la solicitud.

El termino máximo para resolver la solicitud será de 15 días hábiles siguiente al día de la recepción de la solicitud completa. Si IGT considera que no es posible decidir sobre la solicitud durante este término, informará al Titular sobre tal situación antes del vencimiento del término, explicando los motivos del retraso. En todo caso, la decisión no podrá tomar más de 8 días hábiles adicionales al vencimiento del primer término.

16 Cambios a la Política de Privacidad

IGT se reserva el derecho de modificar esta Política de Tratamiento de tiempo en tiempo para reflejar los cambios legales, nuestras recolecciones de datos, prácticas de uso, las herramientas de nuestros servicios, o avances tecnológicos. El uso de la información que recolectamos está sujeto la Política de Tratamiento de Datos vigente al momento del uso de la información. Si realizamos alguna modificación o cambio material a esta Política de Tratamiento de Datos, IGT publicará la Política de Tratamiento revisada.

17 Contáctenos

Si tiene alguna duda en relación con el procesamiento / uso de la información proporcionada por usted o sobre la Política de Privacidad de IGT, puede enviarnos un correo al email del Oficial de Protección de Datos (DPO) en: privacy1@igtsolutions.com .

1 Policy Statement

IGT Services and Technologies Colombia S.A.S hereafter referred as “IGT”, is committed to respecting the privacy and distinguishes the need for appropriate safety of any personal information (“Personal Information”) of its employees, candidates, clients, end-customers, visitors and vendors. IGT strives to comply with applicable laws that are designed to protect individual privacy.

1.1 DATA CONTROLLER

The data controller under this data privacy policy is IGT Services and Technologies Colombia S.A.S. or IGT, a company identified with the tax identification number 901.148.432-3, domiciled in Bogotá D.C., in Diagonal 25G No.95A-85 Edificio Buro 25 -Torre 2 – Suite 101, with the following contact details:

• Email: privacy1@igtsolutions.com
• Phone number: +57 1 6534030

IGT collects, uses, stores, transfers and deletes (as per applicable law) Personal Information and Sensitive Personal Information relating employees / candidates / contractors / consultants (both full and part time), customers, users, visitors and vendors for its business purposes.

As IGT collects this Personal Information from Data Subjects and defines the terms of processing, it attains the position of Data Controller for employees, candidates, clients, visitors and vendors’ Personal Information.

1.2 DATA PROCESSOR

IGT processes its client’s and client customer’s Personal Information as per client’s instructions as per contractual agreement, thus IGT’s role is limited to that of a Data Processor. Any Personal Information collected by IGT as data processor is stored in the client’s data bases and according to its data privacy policies and the applicable law. Therefore, as a Data Processor, IGT acknowledges the rights of the Data Subjects.

2 General Purpose

The purpose of the policy is to stipulate how IGT shall have a systematical approach when working with Privacy/Data Protection in order to ensure the following purposes:

• That employees, candidates, users, customers, visitors, and vendors feel safe and secure in how IGT handles their Personal Information (IGT’s Data Controller Role) and consequently the Personal Information of their employees, officers, agents, legal representatives, etc.

• To ensure compliance to relevant Privacy/Data Protection regulations.

3 Specific Objectives

• IGT is committed to meet its obligations under the applicable Privacy/Data Protection laws. IGT will strive to observe the laws in collection and processing of subject data and will meet any subject request in compliance with these rules.

• IGT will only use data in ways relevant to carrying out its legitimate purposes in a way that is not prejudicial to the interests of individuals, it protects the right of habeas data and has been authorized by the subject data.

• IGT will take care in the collection and storage of any sensitive data.

• IGT will take care in the collection and storage of data from children and teenagers, ensuring the respect of the rights of the children and teenagers.

• IGT employees and, where appropriate, representatives, will keep all data accurate, timely and secure.

• All IGT employees and representatives, whether permanent or temporary, must be aware of the requirements of the IGT Data Privacy Policy when they collect or handle data about an individual.

• IGT employees and representatives must not disclose data except where there is subject’s consent, or a legal requirement. Data sent to outside agencies must always be protected by a written contract that complies with the requirements of law. All collection and processing must be done w.r.t legitimate interest.

• The Data Protection Officer (DPO) will keep records of all complaints by data subjects and the follow up. DPO will also keep a record of all data access requests. There will be a repository of IGT statements of Data Privacy Policy. This information will be available to relevant employees, and Data Subjects on request.

• IGT shall keep all privacy statements up to date.

4 Scope

The policy applies to any kind of personal data collected, stored and processed by IGT Services and Technologies Colombia S.A.S. This policy has been developed in accordance with Law 1581 of 2012 and Decree 1377 of 2013 requirements.

Furthermore, all the data subjects such as employees, candidates, clients, visitors, vendors and or any person from which IGT collects and treats personal data hereafter referred as ‘Data Subjects’ are covered under this policy.

5 Definitions

• Authorization: Prior, express and informed consent granted by the Data Subject to allow the processing of Personal Information.
• Data Base: Organized group of Personal Information.
• Data Controller: Any natural or legal person, of private or public nature that directly or through an association with other, makes decisions in regards of the Data Bases and/or the processing of Personal Information.

• Data Processor: Any natural or legal person, of private or public nature that, directly or through an association with other, undertakes the processing of Personal Information on behalf of the Data Controller.
• Data Subject: Any natural person whose Personal Information is subject of processing.
• Personal Information: Any information related or that can be associated to one or several determined or determinable natural persons.
• Processing: Any activity or group of activities in regards of Personal Information, such as collection, storage, use, circulation or deletion.

• Sensitive Personal Information: Any information that affects the intimacy of a specific person and that the use of such data can lead to discrimination. Sensitive Personal Information could be information such as racial or ethnic origin, political orientation, religious or philosophical beliefs, trade-union membership, social or human rights organization memberships, or any membership that promotes political parties’ interest, or such that guarantee rights and health information, sexual life and orientation data and biometric data.

6 IGT’s Data Treatment

6.1 FROM WHERE DO WE COLLECT DATA SUBJECT’S DATA?

We collect Data Subject’s personal information:

• directly from the Data Subject when they provide it to us; and/or
• from third parties who the Data Subject has authorized to transfer its Personal Information (i.e. LinkedIn, elempleo.com, beside others), and/or
• automatically as the Data Subject navigate through our website (information collected automatically may include usage details, IP addresses and information collected through cookies, web beacons and other tracking technologies).

6.2 FOR WHAT PURPOSE DO WE USE INFORMATION WE COLLECT?

We use the information we collect from and about the Data Subject for a variety of purposes:

For employees and candidates:

• Collect and retain the Personal Information at the time of joining, during the employment and cessation of employment, including personally identifiable information (such as name, middle name, last name, email address, family information, educational information, financial information, employment history information, travel details, health information, etc.) for IGT legitimate business purposes.

• Monitor the IGT email communication, internet usage at workplace, telephone calls, and timely physical checks on the portal and door access, as well as any video recording of the abovementioned access, ensuring the compliance with data protection laws.

• Share the Personal Information internally amongst IGT entities or externally with third parties with whom IGT has contractual relationships for the purpose of processing salaries, performing background checks, other administrative activities and legitimate business requirements.

• Retain Personal Information even after the cessation of employment only if it is required under the applicable laws.

• Collect, process and retain the Personal Information that can be characterized as sensitive data, including but without limiting to biometric information, blood type, and RH, beside others.
• Collect, process and retain the Personal Information of children and teenagers regarding which the employees exercise their legal representation and exclusively for the purposes related to the employment relationship with IGT.

• Facilitation of daily operations of IGT whether carried inside IGT or from a remote location including without limitation day-to-day and administrative/ travel functions.
• Facilitation of human resources operations including without limitation processing of salaries and salary slips, processing of employee benefit related matters, background verification, VISA processing to foreigners.

• In material produced by or on behalf of IGT primarily intended for internal use or client pitches or display in the office premises or company website or for circulation amongst any or all of the following - current and former staff.

• Facilitation of employee medical services and physical security at office premises.

• Facilitating the use and personalization of IGT Portal /website / tools including without limitation addressing any technical problems and fixing the same.
• Facilitation of IGT legitimate business requirement (including sharing Personal Information with cross- border IGT entities or a third party for a valid business reason).

• Share Personal Information with clients to their offices to meet contractual and legitimate business requirements.

• Prevention of illegal acts related to the Data Subject’s Personal Information.
• Compliance with statutory obligations, responding to subpoenas, court orders, or judicial process, provide information to law enforcement agencies or in connection with an investigation on matters related to public safety.

• Security motives at the inside of IGT offices, for which purpose IGT has decided to implement a video surveillance system.
• Publication of my photo, pertaining to my employment or relating to my services, through physical or digital medium, on IGT or its client’s premises/properties, both physical or digital.

• Transfer or transmit the Personal Information, locally or abroad, to other IGT entities Group or third party, for legally authorized purposes including the abovementioned purposes and business requirements.

For clients:

• To provide (including but not limited to) travel, administration, medical, employment related services and to process and respond to client’s queries.

• Understand our clients (what they do on our Services, what features they like, how they use them, etc.), improve the content and features of our Services (such as by personalizing content to client’s interests), process and complete client’s transactions, and make special offers.

• To honor business commitments.
• Administer our website and the provision of services and diagnose technical problems.
• Send client communications that have been requested or that may be of interest to the client by way of emails, or post, or telephone calls, or any other mode of communication. We may also share the client’s preferences, or the services availed by the clients with their network followers on IGT for marketing and other promotional activities of our Services.

• Generate and review reports and data about, and to conduct research on, our Services and Service usage patterns.

• Administer contests and promotions.
• Provide customer support.
• Provide policies about the client’s account.
• Carry out our obligations and enforce our rights arising from any contracts entered into between clients and IGT, including for billing and collection.

• Notify the client about changes to our Services.
• For any other purpose with the client’s consent.
• To undertake access control to IGT offices and as part of the operation of the video surveillance system.
• We may also use the client’s information to contact the client about our own and third-party goods and services that may be of interest to the Data Subject.
• Transfer or transmit the Personal Information, locally or abroad, to other related companies that are part of the IGT Group or third party, for legally authorized purposes including the abovementioned purposes and business requirements.

For end-customers:

• Transfer or transmit the Personal Information, locally or abroad, to other related companies that are part of the IGT Group or third party, for legally authorized purposes including the abovementioned purposes and business requirements.

• IGT acts normally as a processor of the client in this case, therefor as a processor all the purposes of the treatment of the data are subject to the data subject’s authorization and the instructions given to IGT by the data controller.

For vendors:

• To honor business commitments.
• Carry out our obligations and enforce our rights arising from any contracts entered into between vendors and IGT, including for billing and collection.

• Understand our vendors and improve the commercial relationship IGT has agreed with them.
• Transfer or transmit the Personal Information, locally or abroad, to other related companies that are part of the IGT Group or third party, for legally authorized purposes including the abovementioned purposes and business requirements.

For visitors:

• To identify the visitors to IGT’s premises for security purposes, keep control of the people who enter and when they exit the offices.

• In case of emergency, personal data provided will be treated to aid the visitor.

All the personal data provided to IGT will be kept for as long as the purposes provided them for is justified.

6.3 HOW WE SHARE INFORMATION WE COLLECT?

We may transfer and transmit Personal Information that we collect or the Data Subject provides, as described in this privacy policy, in the following ways:

General Information Disclosures

• To our headquarters, subsidiaries and affiliates, which are entities under common ownership or control of our ultimate parent company IGT.
• To contractors, advertisers / service providers and other third-parties whom we use to support our business (e.g. travel related services) and who are bound by contractual obligations to keep Personal Information confidential and use it only for the purposes for which we transmit to them.

• To a buyer or other successor in the event of a merger, divestiture, restructuring, reorganization, dissolution or other sale or transfer of some or all of IGT’s assets, whether as a going concern or as part of bankruptcy, liquidation or similar proceeding, in which Personal Information held by IGT about the clients of our services, employees, visitors, contractors, beside others, are among the assets transferred.

• To third-parties to market their products or services to the Data Subject if it has consented to receive the promotional updates.
• To fulfill the purpose for which the Data Subject provided it.
• Service Providers: We may share the information with outside vendors that we use for a variety of purposes, such as to send the Data Subject emails and messages on behalf of other IGT members, push notifications to mobile device on our behalf, provide voice recognition services to process spoken queries and questions, help us analyze use of our Services, and process and collect payments, and conducting surveys.

• Legal Purposes: We may share Personal Information when we believe in good faith that such sharing is reasonably necessary in order to investigate, prevent, or take action regarding possible illegal activities or to comply with legal process as per applicable law. We may also share information to investigate and address threats or potential threats to the physical safety of any person, to investigate and address violations of this Privacy Policy, or to investigate and address violations of the rights of third parties and/or to protect the rights, property and safety of IGT, our employees, users, or the public. This may involve the sharing of information with law enforcement, government agencies, courts, and/or other organizations on account of legal request such as subpoena, court order or government demand to comply with the law.

• Social Networks: If the Data Subject interacts with social media features on our website, such as the Facebook Like button, or use social media credentials to log-in or post content, these features may collect information about the Data Subject’s use of the Services, as well as post information about its activities on the social media service. Data Subject’s interactions with social media companies are governed by their privacy policies.
• If we believe disclosure is necessary or appropriate to protect the rights, property, or safety of IGT, our customers or others. This includes exchanging information with other companies and organizations for the purposes of fraud protection and credit risk reduction.

• We may share the data subject’s information in any other circumstances where we have its consent.

7 Data Protection Organization Structure

In any case, at the Colombian level, our department of Business Excellence will be in charge of ensuring the compliance of this policy and the applicable regulation regarding data protection matters. Specifically, regarding data breach matters, the Data Protection Management Core Group (DPMCG) shall respond to, analyze and manages privacy incidents within IGT.

8 Data Protection Principles

All processing at IGT shall rely on and follow the below mentioned Privacy/ Data Protection principles and the principles mentioned in the data protection laws:

• Lawfulness: The processing of Personal Information is an activity regulated by law and such be undertaken under such regulation.
• Purpose: IGT will inform the data subject, at the time of the collection of their Personal Information at the latest, the purposes of the data processing, which is a legitimate purpose under Colombian law.
• Freedom: IGT will only process the Personal Information regarding which and in the terms the data subject has authorized through its prior, express and informed consent. Any disclosure or collection of the Personal Information requires data subject’s prior authorization, unless it is authorized by law or by a judge.

• Truthfulness or quality: The Personal Information shall be truth, complete, exact, updated, verifiable and comprehensible.

• Transparency: The Data Subject has the right to receive, from the Daya Controller or the Data Processor, at any time and without restrictions, information regarding the existence of Personal Information concerning to him/her.
• Access and restricted circulation: The processing of the Personal Information is subject to the restrictions and limitation that arise from the nature of the Personal Information, the Colombian law and the Colombian Constitution. Therefore, the processing can only be made by an authorized legal or natural person, whether this authorization is granted by the data subject or by law. The Personal Information will not be accessible on the internet or any other mass communication medium unless IGT can ensure the security of the information and the restricted access to such data by the data subject and any authorized third-party.

• Security: IGT will process Personal Information following the technical procedures and under the technical means available to ensure the security of the data, preventing any adulteration, loss, consultation, use, or non-authorized access.
• Confidentiality: Any person that participates or intervenes during the processing of the Personal Information is compelled to ensure the confidentiality of the data, even after the termination of the contractual relationship by means of which such person participated or intervened in the processing.

9 Data Subject Rights

IGT is sensitive towards the freedom of the Data Subjects and is committed towards valuing their rights as per applicable laws/regulations. Below are the rights provided to Data Subjects under the Law 1581 of 2012 and Decree 1377 of 2013.

• Be informed, update and rectify Personal Information before IGT.
• Request any evidence of the consent granted to IGT to process the data subjects Personal Information.
• Be informed by the Company, prior request made by the Data Subject, regarding the use that has been given to the data subject’s Personal Information.
• Submit any complain or claim before the Superintendence of Industry and Commerce regarding the breach of Law 1581 of 2012 and any other applicable regulation, after undertaking the consultation and claiming procedure according with this Policy and the Law.

• Revoke the authorization granted to IGT for the treatment of Personal Information and/or request the deletion of any Personal Information when its treatment is not made according with the principles, rights and legal and constitutional guarantees.

• Freely access the Personal Information subject of the processing by IGT.

10 Sensitive Personal Information

IGT might treat Sensitive Personal Information if the Data Subject expressly and prior authorize it or in the cases in which the processing of such personal data is authorized by law. Particularly, IGT might process the following Sensitive Personal Information and exclusively for the purpose mentioned below:

• Medical information: This includes information like blood type and RH, which are required for emergencies, and information obtained during the any medical examination regulated by Resolution 2346 of 2007 and any other complementary regulation.
• Fingerprint: It is required for purposes of identification.

By means of this Policy and granting consent the Data Subject acknowledge that IGT has informed Data Subjects about: (i) which Personal Information to be collected is considered as Sensitive Personal Information; (ii) the purposes of that processing; and (iii) that the Data Subject is not compelled to provide such information, except for what is provided by the applicable law.

11 Personal Information of Children and Teenagers:

IGT might process Personal Information of children and teenagers obtained from their legal representatives. IGT’ Services are not meant to be used by underage people. The only Personal Information of children and teenagers to be collected and processed by IGT is information related to IGT employees’ children and exclusively in regards of social security obligation and the employment relationship between IGT and its employees.

In any case, IGT will respect the rights of children and teenagers and will ensure that they prevail during the processing of their Personal Information.

12 Transference and Transmission of Personal Information

• Requests for the transfer and transmission of any Personal Information and Sensitive Personal Information will only be processed once IGT is fully satisfied that the enquirer or recipient is authorized to receive the information. Care must be taken to ensure that any disclosure has a lawful basis.

• IGT may transfer Sensitive Personal Information or Personal Information including any information, to any other body corporate or a person in Colombia, or located in any other country, that ensures the same level of data protection that is adhered to by IGT, such as India and Phillipines. The transfer may be allowed only if it is necessary for the performance of the lawful contract between IGT on its behalf and provider of information or where such person has consented to data transfer.

• IGT shall not allow data collected from subjects to be disclosed to third parties except in circumstances, which meet the requirements of the IGT Data Privacy Policy. This will be either:

o The subject has consented to the disclosure.
o IGT is legally obliged to disclose the data.
o There is a business requirement to disclose data that is within the remit of the IGT Data Privacy Policy and is not prejudicial to the interests of the individual.

• The transfer and transmission of any data collected by IGT will only take place where the subject has been informed about this use of their data.
• Occasionally information relevant to an enquiry must be sought from other organizations. In these circumstances an organization may request an official from IGT stating what specific information is sought and why. Personal Information and Sensitive Personal Information may be exempt from the provisions of the policy in cases where the disclosure is required by any administrative or judicial authority.

• These exemptions only apply to the extent that if the data were not disclosed, it would be likely to prejudice the investigations.

• Government organizations/Legal Authority may serve a notice on the company to access information held.

13 Security for Privacy Information

In order to safeguard privacy information, both electronic and physical, IGT shall have appropriate security safeguards such as:

• IGT shall ensure that any Personal Information is appropriately and adequately secured, against loss, unauthorized access, use, modification or disclosure, and other misuse while at rest, in motion, and in process.

• Personal electronic Data shall be subject to appropriate stringent controls, such as passwords, encryption, access logs, back-ups, etc.
• Screens, printouts, documents and files showing Personal Information must not be visible to unauthorized persons.

• Personal hard copy data must be held securely in locked cabinets, locked rooms, or rooms with limited access.

• Subject to retention guidelines, personal hard copy data shall be destroyed by confidential shredding when the retention period has expired.

• When upgrading or changing personal computer, IGT personnel shall ensure the hard drive is cleaned.

• Reasonable controls to be deployed where laptops and Personal Computers containing Personal Information are used outside the Company premises.

• IGT, on disclosing Personal Information to a Data Processor, shall do only under a written contract specifying the security rules to be followed.

The company’s approach to information security management is contained in separate policy documents. For more details, please refer ‘Information Security Policy’.

Surveillance at IGT Offices

• IGT may have a legitimate interest in monitoring the behavior of its employees and visitors as per the applicable law. IGT may carry out monitoring in order to prevent or detect any unlawful act:

o Detect harassment or other inappropriate behavior;
o Monitor performance of its staff where this is appropriate;

o Monitor e-mail/Internet monitoring, CCTV cameras and detect the outward transmission of confidential information

o Prevent and detect theft of IGT property;

• IGT will inform in each physical space that is being monitored that people are being recorded for the purposes stated in this policy, it will mention the rights of the subject data and where to find the privacy policy.

14 Data Retention and Disposal

IGT is committed to keep Personal Information for a minimum length of time as specified in function / department specific processes or only as long as it is needed to achieve the identified purposes. Personal Information collected by IGT is destroyed when the use of Personal Information is no longer necessary for the purposes of processing as per applicable law. Destruction shall:

• be in a manner sufficient to prevent unauthorized access to that Personal Information; or
• ensure that the Personal Information is anonymized

15 Consultation and Claiming Procedures

IGT, in application of Law 1581 of 2012 and Decree 1377 of 2013, has set the following procedures in order to guarantee that the Data Subjects are able to exercise their rights mentioned in Section 9 above.

Any request for the consultation, update, deletion or any claim shall be made by the Data Subject to Data Protection Officer (DPO) along with the Business Excellence department through a written request

Any Data Subject interested in consulting its Personal Information, should file a consult through the means enabled by IGT.

IGT will have a maximum term of ten (10) business days following the receipt of the request to provide the Personal Information to the Data Subject. If the Company foresees that it would not be able to process and decide the request during such term, it shall inform this situation to the Data Subject, mentioning the motives of the delay and setting a new date in which the request will be decided. In any case, this additional term will not be longer than five (5) business days following the termination of the first term.

Furthermore, any Data Subject or any authorized party can also submit a claim requesting the update, correction or deletion of their Personal Information. For this purpose, the Data Subject shall submit a claim which shall contained:

• The identification of the Data Subject: full name, ID or passport number, phone number, address and email address.
• The description of the fact that support the claim or the request.
• The documents that the Data Subject intends to assert.

If the request does not have enough information to be considered, IGT will request the Data Subject to provide the missing information within the 5 business days following the receipt of the request. The Data Subject will have 2 months to submit the information requested, otherwise IGT will understand the Data Subject has withdrawn the request.

If by any circumstance, IGT receives a request that shouldn’t be address to it, IGT will send the request to whom it may concern in the 2 business days following the receipt of the request and will informed the Data Subject about this situation.

Once the complete request has been received, IGT will include in its Data Bases a notice regarding the ongoing request and its motive, within the 2 business days following the receipt of the complete request. Such notice shall remain until the request is decided.

The maximum term to decide the request will be 15 business days from the day after the complete request was received. If IGT considers that it is not possible to decide the request in this term, will inform the Data Subject about this situation before the expiration of the term, explaining the motives of the delay. In any case, the decision will not take more than 8 business days following the expiration of the first term.

16 Changes to Privacy Policy

IGT reserve the right to amend this Privacy Policy from time to time to reflect changes in the law, our data collection and use practices, the features of our services, or advances in technology. Use of information we collect is subject to the Privacy Policy in effect at the time such information is used. If we make any material changes to this Privacy Policy, IGT shall publish the revised Privacy Policy.

17 Contact Us

If there are any queries relating to the processing/ usage of information provided by the Data Subject or IGT Privacy Policy, you may email the Data Protection Officer (DPO) at: privacy1@igtsolutions.com.