Política de Tratamiento de Datos Personales (TDP) GAMES AND BETTING S.A.S.

La Constitución Política de la República de Colombia, en su artículo 15, prevé como un derecho fundamental, la protección de datos personales, entendida como el derecho de toda persona para conocer, actualizar y rectificar y/o cancelar la información y datos personales que de ella se haya recolectado y/o se traten en bases de datos públicas o privadas.

Mediante la Ley Estatutaria 1581 de 2012, el Congreso de la República, desarrolló tal derecho fundamental y, así mismo, el derecho a la información consagrado en el artículo 20 de la Constitución, estableciendo las Disposiciones Generales para la Protección de Datos Personales, todo lo cual, también encuentra referente normativo reglamentario en los Decretos 1377 de 2013 y 886 de 2014, hoy incorporados en el Decreto Único 1074 de 2015.

Conforme a las referidas normas constitucionales, legales y administrativas, GAMES AND BETTING S.A.S., presenta, establece y dispone el cumplimiento obligatorio de la presente Política de Tratamiento de Datos Personales, como un mecanismo para la materialización de los derechos constitucionales de toda persona cuyos datos personales lleguen a conocimiento de esta empresa y los deberes que le correspondan conforme a la ley y sus decretos reglamentarios.

2. OBJETIVO.

GAMES AND BETTING S.A.S., es una sociedad comercial legalmente constituida, con domicilio principal en Bogotá D.C. y dirección en la Calle 106 No. 23 – 61 Piso 4 Edificio Jasban, identificada con NIT 901153940-3, cuyo objeto social es la operación de juegos de suerte y azar novedosos del tipo operados por internet en el marco de contratos de concesión que suscriba con COLJUEGOS EICE.

En desarrollo de sus actividades comerciales, GAMES AND BETTING S.A.S. actúa en calidad de responsable del tratamiento de los datos personales que solicita, recibe, almacena y administra de sus usuarios, clientes, proveedores, empleados, contratistas y terceros. Por lo tanto, el objetivo de la presente política de tratamiento de datos personales es, garantizar la materialización de las garantías y libertades constitucionales previstas en los referidos artículos 15 y 20 constitucional mediante el acceso a éstas personas a los mecanismos y procedimientos internos para conocer, actualizar y rectificar su información personal y para dar trámite a las peticiones, quejas, reclamos y consultas a partir de la comunicación de las finalidades para los cuales se accede a los datos personales.

3.ALCANCE.

Ésta política aplica a todo acto que implique disposición de información personal relacionada con personas naturales por parte de GAMES AND BETTING S.A.S.

Por disposición de información personal, se entiende cualquier acto de recolección, administración, clasificación, transferencia, uso, rectificación y supresión de datos personales que GAMES AND BETTING S.A.S. realice en el territorio de la República de Colombia como responsable del tratamiento.

Así mismo, cuando se trate de encargados del tratamiento que no estén establecidos en el territorio nacional, le será aplicable la legislación colombiana en virtud de normas y/o tratados internacionales.

4. DEFINICIONES.

Para los propósitos de esta política, se tendrán en cuenta las siguientes definiciones:

Autorización: Es el consentimiento previo, informado y expresado de manera escrita, oral o mediante conductas inequívocas del titular de la información mediante la cual el responsable del tratamiento podrá utilizar sus datos personales en las formas establecidas en el Decreto 1377 de 2013;

Aviso de privacidad: Comunicación escrita que se encuentra disponible en la página web www.yajuego.co a través de la cual se da conocer a los titulares de la información, la existencia y las formas de acceder a las políticas de tratamiento de datos personales y el objetivo de su recolección y uso;

Base de Datos: Conjunto organizado de datos personales bien sea físicos o digitales que son objeto de Tratamiento por parte del responsable y/o del encargado;

Canal interactivo: Sitio web, aplicación o plataforma descargable por medio de la cual GAMES AND BETTING S.A.S. ofrece los servicios de juego operados por internet. El canal interactivo es www.yajuego.co;

Cuenta de usuario: Registro único realizable en el canal interactivo, a través de un proceso mediante el cual, el usuario ingresa y aporta sus datos personales para obtener la apertura de una cuenta de usuario que le permite acceder a las actividades de juego ofrecidas. La cuenta de usuario puede estar en estado activa, suspendida o cancelada;
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

Documento de identificación: Cédula de ciudadanía o de extranjería, pasaporte o cualquier tipo de identificación apta, válida y vigente del usuario;

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;

Yajuego: Marca o signo distintivo de GAMES AND BETTING S.A.S. que lo distingue y a su vez al canal interactivo y los juegos autorizados que en éste se ofrecen;

Juegos operador por internet: Aquellos en los que la apuesta y el pago de premios se realizan por medios que no requieren la presencia del jugador, previo su registro en el sitio o portal autorizado y cuya mecánica se soporta en la intervención de un generador de número aleatorio o en la ocurrencia de eventos reales cuyos resultados no son controlados por el operador del juego;

Jugador: Persona natural mayor de edad no autoexcluido que voluntariamente decide registrarse mediante cuenta de usuario en el canal interactivo para participar realizando apuestas en los juegos por internet que éste ofrezca;
- Medios de pago: Medios habilitados por GAMES AND BETTING S.A.S que permite a los jugadores adquirir los créditos para la participación en el juego y por medio de los cuales se realiza la entrega de los fondos del jugador;

Responsable del Tratamiento: Corresponde a GAMES AND BETTING S.A.S. como jurídica y privada, que por sí misma realiza el Tratamiento de datos personales;

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;

Transmisión: Comunicación de datos personales dentro o fuera del territorio de la República de Colombia cuyo objeto es el tratamiento por un encargado por cuenta del responsable;

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

5. DESTINATARIOS.

La Política de Tratamiento de Datos Personales, se aplicará a todas las bases de datos tanto físicas como digitales, que contengan datos personales y que sean objeto de tratamiento por parte de GAMES AND BETTING S.A.S., considerada como responsable, así como en aquellos casos en las que terceros, debido al flujo de información, operen como encargadas del tratamiento de datos personales.

La presente Política de Tratamiento de Datos Personales está dirigida a todas aquellas personas que soliciten o celebren actos, operaciones o cualquier otro tipo de actividades con GAMES AND BETTING S.A.S., de tal manera que se brinde la información necesaria y suficiente sobre los diferentes tratamientos y fines sobre los que serán objeto sus datos, así como los derechos que ellos, como titulares de datos personales, pueden ejercer cuando GAMES AND BETTING S.A.S. asuma el rol de responsable del tratamiento de sus datos personales.

La Política es de obligatorio conocimiento y cumplimiento para todas las personas naturales o jurídicas responsables de la administración de bases de datos personales de GAMES AND BETTING S.A.S, en especial todo proveedor nacional o extranjero que administre sus bases de datos y por aquellos empleados y contratistas que reciben, atienden y dan respuesta directa o indirectamente a las peticiones, quejas, reclamos y consultas de información relacionadas con la ley de protección de datos personales.

6. TRATAMIENTO Y FINALIDAD.

En observancia de lo establecido en la Ley 1581 de 2012 y sus decretos reglamentarios y una vez haya sido obtenida la autorización por parte de los titulares de la información, el tratamiento de datos personales que realizará GAMES AND BETTING S.A.S., será exclusivamente para las finalidades autorizadas y previstas en la presente política, aquellas autorizaciones específicas otorgadas por parte del titular y las previstas en la ley, en los contratos y en actividades de carácter promocional o de mercadeo y siempre, bajo los lineamientos de la seguridad de la información.

Las finalidades generales del tratamiento de datos personales son las siguientes:

Efectuar las operaciones en las bases de datos necesarias para el desarrollo del objeto social de GAMES AND BETTING S.A.S. en lo que tiene que ver con el cumplimiento del objeto del contrato de concesión celebrado con la Empresa Industrial y Comercial del Estado Administradora del Monopolio Rentístico de los Juegos de Suerte y Azar – COLJUEGOS para la operación de juegos de suerte y azar novedosos operados por internet, para los tipos de juegos: apuestas sobre eventos reales deportivos con locales comerciales; máquinas tragamonedas o de azar y ruleta y demás autorizados, la cual comprende la autorización para ofrecer los juegos por internet reglamentados por los Acuerdos de la Junta Directiva de Coljuegos así como para los contratos, afiliaciones o negocios celebrados con los titulares de la información personal;

Los datos personales proporcionados por el usuario en los formularios de registro serán tratados con el fin de habilitar el ingreso a los productos y servicios de entretenimiento que se ofrecen en el canal interactivo en plena observancia de los fines legales y en cumpliendo sobre las normas aplicables para la operación de los juegos de suerte y azar, los reglamentos de juego y los términos y condiciones generales y específicos de los juegos;

La información personal será recopilada, almacenada y procesada para facilitar y lograr el registro de su cuenta de usuario, validar su identidad de acuerdo con el reglamento general o específico de cada juego, generar el estado de activo de las cuentas de usuarios, para la generación de apuestas, para procesar sus transacciones, a solicitud, de los créditos en las cuentas de usuario y demás necesarias y propias que se puedan realizar en la plataforma y en cada cuenta de usuario

Validar cuentas de usuario, suspender o cancelar las mismas y en general la actualización de datos personales

Para identificar y para atender todo tipo de peticiones, quejas, reclamos y consultas relacionadas con la operación del canal interactivo;

Para categorizar, clasificar y establecer tipologías de usuarios o jugadores con fines de análisis operativos y de mercadeo y estudios de mercado.

Para remitir información relacionada con el objeto social de GAMES AND BETTING S.A.S., así como con los productos y servicios que ofrece a través de su página web www.yajuego.co y cualesquiera otros para los cuales este autorizado mediante comunicación electrónica lo cual incluye entre otros correos electrónicos, mensajes de texto a la línea celular del usuario, mensajes de datos a través de aplicaciones de comunicación, redes sociales y correos electrónicos, llamadas telefónicas a línea fija y celular, con el fin de informar sobre mensajes promocionales, sobre los nuevos productos o servicios, ofertas u oportunidades que puedan interesarle, realizar invitaciones a eventos y ofrecer nuevos productos y servicios, gestionar trámites (solicitudes, quejas, reclamos), efectuar encuestas de satisfacción respecto de los bienes y servicios ofrecidos, realizar encuestas, estudios y/o confirmación de datos personales necesarios para la ejecución de una relación contractual, envío de noticias relacionadas con campañas de fidelización o mejora de servicio, envío de avisos de información sobre cambios en nuestros servicios y para proporcionarle notificaciones y divulgaciones requeridas por la ley, envío de estados de cuenta o datos de validación o de seguridad para transacciones y demás derivadas del contrato, negocio o afiliación existente entre las partes;

Para recibir y almacenar ciertos tipos de información automática cada vez que interactúan los usuarios con nosotros, como «cookies» o información que su navegador de Internet puede enviarnos, esto puede incluir una dirección IP, cookies de inicio de sesión, tipo de navegador y versión, sistema operativo, cookies del historial de transacciones, cookies flash o datos similares en algunas partes del sitio que pueden usarse para optimizar su experiencia al usar el sitio para prevención de fraude y otros propósitos. Los usuarios podrán obtener más información sobre cómo administrar las cookies (o cómo deshabilitarlas por completo) desde el menú de ayuda de su navegador. Se debe tener en cuenta que deshabilitar las cookies puede evitar el uso de algunas de las características que ofrece el sitio;

Para ejecutar los protocolos y medidas de seguridad de datos y así mantener salvaguardias físicas, electrónicas y de procedimiento en relación con la recopilación, almacenamiento y procesamiento de la información personal;

Para la presentación de todo tipo de reportes y de respuestas a requerimientos técnicos, legales y financieros exigidos por la Ley y/o por las autoridades que ejercen inspección, vigilancia y control:

Transmitir los datos personales dentro y fuera del país a terceros con los cuales GAMES AND BETTING S.A.S. haya suscrito contratos comerciales o de colaboración para la operación de los productos y servicios ofrecidos a los usuarios y sea necesario entregársela para el cumplimiento del objeto contractual. De esta manera, transmitirá datos de información personal a terceros con sede en Colombia y en otros países para estos fines, a los proveedores de servicios de pago para facilitar sus solicitudes de depositar los fondos en su cuenta y solicitudes de retiro, y también en el caso de cualquier disputa relacionada con la transacción o como parte de una investigación de fraude.

Transmitirá información personal a los proveedores que realizan el procesamiento técnico, la verificación de identidad, la detección de fraude y la administración de la cuenta y en general para suministrar la información a terceros con los cuales GAMES AND BETTING S.A.S. tenga relación contractual y que sea necesario entregársela para el cumplimiento del objeto contratado;

La información personal que nos proporciona el usuario a través del sitio www.yajuego.co o cualquier otro canal de comunicación, puede combinarse con cualquier otra información que nos proporcione y que no constituya información personal (a través de medios en línea o fuera de línea). GAMES AND BETTING S.A.S. obtendrá información sobre el usuario a través de otras fuentes, como a través de proveedores externos, para protegerse contra el fraude y para que se pueda dar cumplimiento a las normas orientadas a la prevención de riesgo de lavado de activos y financiación del terrorismo en los términos y condiciones señalados en el artículo 102 y siguientes del Estatuto Orgánico del Sistema Financiero, el Capitulo XI Título I de la circular Básica Jurídica 007 de 1996 y en la Resolución 20161200032334 de 2016 expedida por COLJUEGOS «Por medio de la cual se establece los requisitos para la adopción e implementación del Sistema de Prevención y Control del Lavado de Activos y de la Financiación del Terrorismo – SIPLAFT de las Empresas del sector de Juegos de Suerte y Azar, localizados, novedoso y de apuestas en eventos deportivos, gallístico, caninos y similares autorizados por COLJUEGOS y demás normatividad concordante. Nos reservamos el derecho de acceder a todos los recursos disponibles de vez en cuando para obtener información sobre usted y para permitirle utilizar nuestros productos y servicios en la medida requerida o permitida por la legislación colombiana y para transferir datos personales fuera del país a la compañía matriz para cumplir con las regulaciones anti lavado de activos que le aplican;

Para ser administrada por personal vinculado con GAMES AND BETTING S.A.S. (contratistas y/o proveedores de servicios) en razón de algún encargo especial, quienes serán los encargados del tratamiento de los datos y quienes estarán obligados contractualmente a almacenar, tratar, proteger y mantener dicha información como confidencial y no podrán tratar la misma con ninguna otra finalidad a la indicada contractualmente por GAMES AND BETTING S.A.S.. Tal como se describe, personal vinculado a GAMES AND BETTING S.A.S. serán los encargados del tratamiento de su información y con proveedores de servicios o contratistas podrá compartirse alguna información quienes estarán facultados para usarla únicamente para enviarle información de índole comercial y publicitario;

Para suministrar información de contacto a la fuerza comercial y/o red de distribución, telemercadeo, investigación de mercados y cualquier tercero con el cual GAMES AND BETTING S.A.S., tenga un vínculo contractual para el desarrollo de actividades de ese tipo (investigación de mercados y telemercadeo, etc) para la ejecución de las mismas;

En caso de cancelación de la suscripción pero que se mantenga la cuenta de usuario con GAMES AND BETTING S.A.S., nos reservamos el derecho de enviarle avisos por motivos de servicio al cliente, incluida la comunicación sobre su Cuenta o transacciones relacionadas con su uso de los productos o servicios de GAMES AND BETTING S.A.S.

Realizar las actividades necesarias para dar cumplimiento a las obligaciones laborales y comerciales y todas aquellas relacionadas con el sistema general de seguridad social;

Para mantener una base de datos del personal, sus perfiles personales y profesionales, para establecer manual de funciones, códigos de gobierno, de ética y demás reglamentos internos;

Publicación de directorio corporativo, control de ingreso y salida mediante sistemas biométricos y proceso contable de la compañía.

7. RESPONSABLE Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES.

El responsable del tratamiento de datos personales es GAMES AND BETTING S.A.S quien se encuentra autorizada bajo la marca Yajuego, como operadora de juegos de suerte y azar de la modalidad de novedosos del tipo operados por internet según contrato de concesión suscrito con la Empresa Industrial y Comercial del Estado Administradora del Monopolio Rentístico de los Juegos de Suerte y Azar – COLJUEGOS.

Los Encargados del tratamiento son todos aquellas personas naturales y jurídicas que tengan relación operativa, comercial o de colaboración o que provean servicios necesarios para la operación, ante quienes se adoptarán las medidas necesarias para que al tener acceso a los datos personales cumplan con la presente política y los principios de protección de datos personales y obligaciones establecidas en la ley. Entre estos se incluyen, los proveedores de plataforma o hardware de la operación, proveedores de juegos, licenciatarios de software con acceso a bases de datos, afiliados web, empresas de servicios temporales, head hunters y empleados que administran total o parcialmente bases de datos personales.

8. ACEPTACIÓN DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES.

De acuerdo con la definición establecida en la Ley 1581 de 2012, los datos personales corresponden a cualquier información relacionada o que pueda asociarse con una o varias personas identificadas o identificables, como el nombre, la edad, el sexo, el estado civil, la dirección, entre otros y que el titular proporciona a GAMES AND BETTING S.A.S. para registrar una cuenta de usuario en línea y/o para operar la cuenta, para usar los productos y servicios, según lo solicitemos.

Los titulares de la información objeto de tratamiento, con el registro de una cuenta de usuario, así como con los demás actos en virtud de los cuales GAMES AND BETTING S.A.S. acceda a datos personales de los titulares aceptarán los términos de la Política de Tratamiento de datos personales mediante medios escritos, de forma oral o mediante conductas inequívocas que permiten concluir que se otorgó la autorización.

9. DATOS SENSIBLES Y TRATAMIENTO.

Se entiende por datos sensibles, aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Como regla general en la actividad y en las operaciones de GAMES AND BETTING S.A.S. estará prohibido la solicitud y el acceso con fines de tratamiento de datos sensibles, excepto en los siguientes eventos:

El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

El tratamiento sea necesario para la salvaguarda y protección de las instalaciones físicas de GAMES AND BETTING S.A.S., así como el control de ingreso y salida de las instalaciones, cuya aceptación se realiza de manera tácita en mera voluntad de proveer esos datos sensibles en los controles que se realicen.

GAMES AND BETTING S.A.S., informa que, en virtud de la ley 1581 del 2012 y demás normas reglamentarias, los titulares de datos sensibles no están obligados a otorgar la autorización para el tratamiento de datos. En caso de tratamiento de datos relativos a la salud, GAMES AND BETTING S.A.S., implementará las medidas necesarias para proteger la confidencialidad de la información. Los datos sensibles biométricos tratados tienen como finalidad la identificación de las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los productos.

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido.

10. DEBERES DEL RESPONSABLE DEL TRATAMIENTO.

GAMES AND BETTING S.A.S., como responsable del tratamiento deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley 1581 de 2012, sus decretos reglamentarios y en otras que rijan su actividad:

Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el titular;

Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento;

Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente política y en la ley;

Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular;

Tramitar las consultas y reclamos formulados en los términos señalados en la presente política y en la ley;

Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

Informar a solicitud del titular sobre el uso dado a sus datos;

Informar al Oficial de Protección de Datos Personales y cuando aplique, a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares;

Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

11. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO.

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley 1581 de 2012, sus decretos reglamentarios y en otras que rijan su actividad:

Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos previstos en la presente política y en la ley;

Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

Tramitar las consultas y los reclamos formulados por los titulares en los términos previstos en la presente política y en la ley;

Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente política y en la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley;

Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

12. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN.

Los titulares de datos personales, en los términos previstos en el artículo 8 de la Ley 1581 de 2012 tendrán derecho a:

Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado;

Solicitar prueba de la autorización salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012;

Ser informado, previa solicitud, respecto del uso que le ha dado a sus datos personales;

Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen;

Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la Constitución;

Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

13. DEBERES DE LOS TITULARES DE LA INFORMACIÓN.

Son deberes a los titulares de los datos personales:

Adoptar las medidas necesarias para protegerse contra el acceso no autorizado a su cuenta de usuario y su contraseña;

Mantener confidencial toda la información relacionada con la cuenta. Nunca compartir su contraseña con otra persona;

Consultar nuestras pautas de configuración de contraseñas para obtener más información sobre cómo crear y cambiar su contraseña.

14. PROTOCOLO DE ALMACENAMIENTO DE LA INFORMACIÓN.

Todos los empleados y contratistas de GAMES AND BETTING S.A.S., al realizar las actividades propias de su cargo, asumirán las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

La información de carácter personal estará contenida en las bases de datos físicas y digitales, las cuales deberán ser utilizada y tratadas de acuerdo con las finalidades descritas en el numeral 6º de la presente política. En caso de que algún área identifique nuevos usos diferentes a los descritos en la presente política de tratamiento de datos personales, deberá informar al Oficial de Protección de Datos Personales, en cabeza del Jefe de Ciberseguridad, quien evaluará y gestionará, cuando aplique, su inclusión en la presente política. Igualmente, se deben tomar en consideración los siguientes supuestos:

Cada una de las áreas de la empresa podrá administrar bases de datos propias que podrán contener datos personales de usuarios, clientes, proveedores, empleados y terceros de acuerdo con sus competencias y cada una de ellas, deberán garantizar el cumplimiento del adecuado tratamiento y protección de acuerdo con la presente política;

Las bases de datos personales de usuarios y clientes estarán bajo la exclusiva administración, responsabilidad y tratamiento de la Dirección de Operaciones, quien, de acuerdo con los protocolos y políticas de seguridad de la información a cargo de la Jefatura de Ciberseguridad, deberá así mismo garantizar el cumplimiento incondicional de la Política de Tratamiento de Datos Personales.

En caso de que un área diferente de la que recolectó inicialmente el dato personal requiera utilizar los datos personales que se han obtenido, ello se podrá hacer siempre que se trate de un uso previsible por el tipo de servicios que ofrece la empresa y para una finalidad contemplada dentro de la presente Política de Tratamiento de Datos Personales;

Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona;

En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, el área que solicitó los datos personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de Tratamiento de Datos Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los datos personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un titular haya presentado algún reclamo;

Los empleados y contratistas no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del titular del dato, en los casos en que así sea necesario.

Únicamente los empleados y contratistas autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por la Jefatura de TI, de acuerdo a los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información personal.

Cualquier uso de la información diferente al establecido, será previamente consultado con el Oficial de Protección de Datos Personales.

El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

15. PROCEDIMIENTO DE GESTIÓN DE INCIDENTES CON DATOS PERSONALES.

El líder y competente para el adecuado trámite de gestión de incidentes con datos personales es el Oficial de Protección de Datos, rol que desempeñará el Jefe de Ciberseguridad de GAMES AND BETTING S.A.S.

Se entiende por incidencia con datos personales cualquier circunstancia que potencial o materialmente vulnere la seguridad de las bases de datos personales o información contenida en las mismas.

Cualquier anomalía deberá ser reportada al Oficial de Protección de Datos para que se adopten las medidas de protección oportunas frente al incidente reportado.

El procedimiento de gestión de incidentes tendrá en cuenta las siguientes acciones:

Reporte: Todo empleado, contratista o tercero, está en la obligación de reportar de manera oportuna a su jefe directo y al Oficial de Protección de Datos Personales cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de las bases de datos personales.

Toda sospecha de incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por el Oficial de Protección de Datos Personales. Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el Oficial de Protección de Datos Personales, debe ser notificado de forma inmediata. Los empleados deben reportar a su jefe directo y al Oficial de Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder de la empresa. A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún empleado debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, la Dirección Legal y Cumplimiento deberá intervenir con el fin de prestar el asesoramiento adecuado.

Identificación: Ante cualquier reporte, el Oficial de Protección de Datos Personales, determinará la existencia o no de un incidente y de ser el caso, promoverá a través de la Dirección Legal y de Cumplimiento las acciones judiciales y administrativas pertinentes.

Notificación de Incidentes: Cuando se materialice un incidente el Oficial de Protección de Datos Personales gestionará su reporte en el Registro Nacional de Bases de Datos.

Contención, Investigación y Diagnostico: El Oficial de Protección de Datos Personales debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado con la Jefatura de TI y de la Dirección Legal y de Cumplimiento.

Judicialización: En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, el Oficial de Protección de Datos Personales y la Dirección Legal y Cumplimiento, presentará la respectivas acciones judiciales y administrativas ante la autoridad competente. Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal.

Solución: La Jefatura de Ciberseguridad y la Jefatura TI[1] , así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.

Cierre de Incidente y Seguimiento La Jefatura de Ciberseguridad y la Jefatura TI así como cualquier área comprometida y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.

El Oficial de Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización[2] y/o capacitaciones que ayuden a minimizar la probabilidad de incidentes futuros.

Reporte de incidentes ante la SIC como autoridad de control: La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el responsable del tratamiento o por su encargado, deberán reportarse al Registro Nacional de Bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos. Los líderes de proceso y/o propietarios de activos de información, reportarán de forma interna los incidentes asociados a datos personales ante el Oficial de Protección de Datos Personales, quién dentro del plazo legal procederá a reportarlos ante el Registro Nacional de Bases de Datos.

16. ÁREA RESPONSABLE DE LA ATENCIÓN A PETICIONES, CONSULTAS Y RECLAMOS.

El Oficial de Protección de Datos Personales es la dependencia encargada de dar trámite a las solicitudes de los titulares para hacer efectivos sus derechos.

Los canales de atención dispuestos para esto son los siguientes:

A través del servicio PQR dispuesto en la página www.yajuego.co;
A través del servicio Chat dispuesto en la página www.yajuego.co;
Mediante radicación de documento escrito en la dirección Calle 106 No. 23-61 Piso 4 de la ciudad de Bogotá D.C.
A través del correo electrónico protecciondatospersonales@yajuego.co ;

17. PROCEDIMIENTO PARA EL EJERCICIO DEL DERECHO DE HABEAS DATA.

En cumplimiento de las normas sobre protección de datos personales, GAMES AND BETTING S.A.S., presenta el procedimiento y requisitos mínimos para el ejercicio de sus derechos:

Para la radicación y atención de su solicitud le solicitamos suministrar la siguiente información:

Nombre completo y apellidos
Datos de contacto (Dirección física y/o electrónica y teléfonos de contacto),
Medios para recibir respuesta a su solicitud,
Motivo(s)/hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información)
Firma (si aplica) y número de identificación.

El término máximo previsto por la ley para resolver su reclamación es de quince (15) días hábiles, contado a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, GAMES AND BETTING S.A.S. informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Una vez cumplidos los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación podrá poner su caso en conocimiento de la Superintendencia de Industria y Comercio –Delegatura para la Protección de Datos Personales-.

18. VIGENCIA.

La presente Política para el Tratamiento de Datos Personales rige a partir de la fecha de su actualización, esto es, a partir del 15 de agosto de 2023 y será revisada anualmente o cuando por cambios normativos y regulatorios lo amerite, no obstante GAMES AND BETTING S.A.S., informa que podrá ejercer el derecho a modificar o actualizar esta política en cualquier momento. Cualquier cambio o actualización cambio será informado y publicado oportunamente a través de la página web www.yajuego.co y se inscribirá allí su fecha de cambio.

Jefatura TI

y/o capacitaciones