Fecha de actualización: 01 de febrero de 2022

⦁ ¿Quién es Diageo?

Diageo es la compañía líder mundial del negocio de bebidas alcohólicas. Puede encontrar más información sobre las diferentes marcas de Diageo en https://www.diageo.com/en/our-brands/brand-explorer/, y en desarrollo de sus actividades habituales, ha elaborado y administrado bases de datos en donde se encuentran diversas categorías de datos de empleados, exempleados, candidatos, contratistas, clientes, potenciales clientes, proveedores y terceros con los que se tiene o ha tenido algún vínculo comercial. De esta manera, DIAGEO en el rol de Responsable o Encargado de las bases de datos personales, está comprometido con el correcto tratamiento de los datos en cumplimiento con la Presente Política de Tratamiento de Datos.

⦁ ¿Por qué necesitamos esta Política?

La presente Política Local de Protección de Datos Personales (en adelante la “Política”) determina el procedimiento que deberá adelantarse en DIAGEO COLOMBIA S.A. (en adelante Diageo o la Compañía) para la recolección, manejo, custodia y cuidado de los Datos Personales de los empleados, contratistas, clientes, proveedores, consumidores y, en general, a toda clase de terceros que suministren información personal a Diageo.

Esta Política también procura que todo aquel que suministre sus Datos Personales a Diageo, cuente con un proceso claro y expedito para la atención de peticiones, consultas y reclamos; y pueda ejercer sus derechos a conocer, actualizar, rectificar, suprimir sus Datos Personales y revocar la autorización dada a Diageo, en caso de que así lo requiera. Igualmente, contribuye a cumplir y mejorar los estándares legales del manejo de información personal.

⦁ ¿A quién está dirigida esta Política?

Esta política es de obligatorio cumplimiento para todas las personas naturales o jurídicas que intervengan en la administración de bases de datos personales cuyo responsable o encargado sea Diageo, en especial aquellos empleados y contratistas que administren bases de datos personales o reciben, atienden y dan respuesta directa o indirectamente a las consultas o reclamos relacionadas con el tratamiento de datos personales. De igual manera, la Política aplica a toda la ciudadanía que haya suministrado sus Datos Personales a Diageo, y quiera hacer valer sus derechos consagrados en la normatividad legal aplicable.

⦁ ¿Cuál es la normatividad aplicable?

Diageo ha identificado el siguiente marco normativo que articula las disposiciones de Protección de los Datos Personales, sin que esto constituya que cualquier norma adicional que para los efectos sea expedida por las autoridades locales o globales, sea aplicada correctamente por la Compañía.

⦁ Constitución Política de 1991 (Artículos 15 y 20).
⦁ Ley 1266 de 2008.
⦁ Ley 1581 de 2012.
⦁ Decreto Único 1074 de 2015.

⦁ Decreto 886 de 2014.
⦁ Circular Externa 005 de 2017.
⦁ Circular Externa 008 de 2017.
⦁ Guía de la Superintendencia de Industria y Comercio para la implementación del Principio de Responsabilidad Demostrada (Accountability).

En general, se aplicarán las demás normas que regulen o complementen lo concerniente a la protección de datos personales.

⦁ ¿Cuál es el ámbito de aplicación de esta Política?

Esta Política se aplica al Tratamiento de los Datos Personales que recolecte y administre Diageo como responsable y que provengan de empleados, candidato, contratistas, clientes, proveedores y, en general, a toda clase de terceros que suministren información a Diageo.

⦁ Definiciones

Para el desarrollo, interpretación y aplicación de la ley y la presente Política, se tendrán en cuenta, de manera armónica e integral, las siguientes definiciones:

⦁ Autorización: Es el consentimiento que debe dar el Titular de Datos Personales para que Diageo Colombia pueda hacer el Tratamiento de los mismos.
⦁ Autorizado: Es Diageo y todas las personas bajo la responsabilidad de Diageo Colombia tales como los empleados, o terceros, que por virtud de la autorización del Titular tienen legitimidad para tratar los Datos Personales.
⦁ Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
⦁ Dato Privado: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
⦁ Datos Públicos: Son los Datos Personales que pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales que son de acceso y consulta sin limitaciones por cualquier persona. Por ejemplo, son considerados Datos Públicos los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
⦁ Datos Semiprivados: Son los Datos Personales que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial
⦁ Dato sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquéllos que revelen el origen racial o étnica, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido política, o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
⦁ Encargado: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
⦁ Registro Nacional de Base de Datos: Significa el directorio público de las bases de datos sujetas a Tratamiento operado por la Superintendencia de Industria y Comercio.
⦁ Responsable: Corresponde a la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los Datos Personales. En este caso, se trata de Diageo.
⦁ Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

⦁ Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión, así como también su Transferencia y/o Transmisión a terceros a través de comunicaciones, consultas, interconexiones, cesiones, mensajes de datos.
⦁ Transferencia: La Transferencia de Datos Personales tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información de los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
⦁ Transmisión: Tratamiento de Datos Personales que implica la comunicación a un tercero de los mismos dentro o fuera del territorio de la República de Colombia, cuando dicha comunicación tenga por objeto la realización de un Tratamiento por el Encargado.

⦁ Principios en el Tratamiento de Datos Personales

Diageo está comprometido con el adecuado tratamiento de los Datos Personales, por lo cual, en todas las actividades que tengan manejo de datos personales, se deberá garantizar la aplicación de los siguientes principios, los cuales se encuentran alineados con los establecidos en el artículo 4 de la Ley 1581 de 2012:

⦁ Legalidad: En todo el proceso de tratamiento de los datos personales, desde el momento de su captura, almacenamiento y eliminación, se debe cumplir con las disposiciones normativas, empleando los datos para fines que estén bajo la ley y a las disposiciones reglamentarias que la desarrollen.
⦁ Finalidad: Todos los datos personales que sean capturados deben atender a finalidades específicas de acuerdo con el tratamiento que se le dará al dato. Las finalidades del tratamiento deben ser informadas a los Titulares con el propósito que éstos conozcan las actividades que sean desarrolladas con los datos personales que sean entregados.
⦁ Libertad: La recolección, almacenamiento y tratamiento de los Datos Personales sólo puede realizarse con la autorización previa, expresa e informada del Titular, quien debe ser informado sobre el tratamiento que se les dará a los datos personales. La divulgación o socialización de los datos personales sin la previa autorización, o sin una disposición legal que lo habilite, está prohibido.
⦁ Veracidad o calidad: El responsable del tratamiento debe promover que los Datos Personales que estén sujetos a tratamiento deben ser veraces, exactos, completos, comprobables, comprensibles y actualizados, pues de lo contrario pueden llevar a inducir a errores en la ejecución de tratamiento para el cual fueron capturados. Se prohíbe el Tratamiento de Datos Personales parciales, incompletos, fraccionados o que induzcan a error.
⦁ Transparencia: Garantizar el derecho del Titular a obtener, en cualquier momento y sin restricciones, información acerca de la existencia de Datos Personales que le conciernan.
⦁ Acceso y circulación restringida: El tratamiento de los Datos Personales sólo podrá ser realizado (i) por personas autorizadas por el Titular y/o por las personas previstas en la ley; (ii) únicamente para las finalidades autorizadas por el Titular; y (iii) en consideración a la naturaleza de los Datos Personales tratados. Los Datos Personales, salvo la información pública, tratados por Diageo no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
⦁ Seguridad: El tratamiento de Datos Personales se manejará con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida consulta, uso o acceso no autorizado o fraudulento.
⦁ Confidencialidad: Garantizar la reserva de la información y Datos Personales que no estén bajo la categoría de datos públicos, por lo cual, todas las personas que tengan acceso al tratamiento de los Datos Personales deberán promover prácticas de manejo de datos que eviten su exposición o suministro a terceros no autorizados.

⦁ ¿Cuáles son los derechos de los Titulares de Datos Personales?

Los Titulares de los Datos Personales custodiados por Diageo tienen los derechos que se detallan a continuación:

⦁ Derecho a conocer, actualizar y rectificar los Datos frente a Diageo o los Encargados del Tratamiento de datos.
⦁ Solicitar prueba de la autorización otorgada, o cualquier otra que suscriba el Titular de los Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito para el Tratamiento de datos de conformidad con la ley.
⦁ Ser informado por la Diageo o el Encargado del Tratamiento, previa solicitud, respecto del uso que se les ha dado a los datos.
⦁ Presentar ante la Autoridad Competente quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, sustituyan o adicionen.
⦁ Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Autoridad Competente haya determinado que, en el Tratamiento Diageo o Encargados del Tratamiento de Datos Personales, han incurrido en conductas contrarias a la ley y a la Constitución. La revocatoria procederá siempre y cuando no exista la obligación legal o contractual de conservar el dato personal.
⦁ Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento.

⦁ ¿Qué tipos de datos personales recolecta DIAGEO?

Un dato personal es cualquier información vinculada o que pueda asociarse a una o varias personales naturales determinadas o determinables, tal como lo define la ley aplicable. Los datos personales que recolectamos incluyen:

⦁ Datos personales suministrados por el Titular.
⦁ Datos personales que son recolectados o generados automáticamente, o son obtenidos de terceros.

Ahora bien, sobre las categorías descritas anteriormente se desprenden los siguientes tipos de datos personales:

⦁ Datos personales suministrados por el Titular: Este tipo de datos personales incluye:
⦁ Detalles de contacto (Nombre, dirección personal, dirección de trabajo país de residencia, números telefónicos y direcciones de correos electrónicos personales y del trabajo).
⦁ Información demográfica (Fecha de nacimiento, su edad o rango de edad, sexo y género).
⦁ Para el caso de Proveedores, Contratistas y Clientes persona natural, y empleados, Diageo podrá solicitar información financiera (Datos de la cuenta bancaria).
⦁ Información de registro en línea (Contraseña u otra información para efectos de autenticación).
⦁ Información de pagos (Información de la tarjeta de crédito y dirección de envío de facturación).
⦁ Información suministrada como parte de cuestionarios en línea (respuestas a encuestas de satisfacción o investigaciones de mercado).
⦁ Inscripciones o registros a actividades promocionales o concursos.
⦁ En algunos casos, preferencias publicitarias y de marketing.
⦁ Números fiscales y licencias comerciales (si el Titular es un comerciante individual).
⦁ Para el caso de un Cliente, Diageo podrá solicitar información relacionada con preferencias de envío, instrucciones de entrega, información de referencia, preferencias de servicio al cliente.

⦁ Información del vehículo y demás información de visitantes recopilada cuando visita nuestras instalaciones (incluida, en algunas instalaciones, la videovigilancia de los perímetros de las instalaciones).
⦁ Registro de correspondencia del Titular.
⦁ En caso de empleado de un cliente o proveedor y desea participar en uno de los proyectos de capacitación de Diageo como "Aprender para la vida", Diageo podrá recopilar información referente a origen étnico o nivel educativo.

⦁ Datos personales recolectados o generados automáticamente u obtenidos de terceros: Este tipo de datos personales puede referirse al dispositivo del Titular (computador personal, tableta u otro dispositivo móvil), al uso que haga el Titular de los datos a los sitios web y aplicaciones (así como ciertos sitios web de terceros que sean aliados de DIAGEO), y/o a las preferencias personales, intereses o ubicación geográfica del Titular. Ejemplos de estos tipos de datos personales incluyen:
⦁ Nombre y edad (o predicción de rango de edad).
⦁ Información sobre dispositivo, sistema operativo, navegador y dirección IP.
⦁ Identificadores únicos asociados al dispositivo.
⦁ Información de páginas web que el Titular haya visitado.
⦁ Productos que el Titular haya visto en línea (incluyendo información sobre productos que el Titular haya buscado o visto, comprado o agregado a una lista o carrito de compras en línea).
⦁ El tiempo que el Titular invierte en ciertas áreas de un sitio web o aplicación, junto con la fecha y hora de la visita/uso.
⦁ Datos personales publicados en contenido generado por el usuario (tales como blogs y publicaciones en redes sociales).
⦁ Nombre de usuario o identificación en redes sociales.
⦁ Fotografía de perfil en redes sociales y otra información de perfil en redes sociales (tales como la cantidad de seguidores).
⦁ Para el caso de Proveedores y Clientes, Diageo podrá solicitar datos de identificación electrónica cuando sea necesario para formalizar la entrega de productos o servicios (por ejemplo, nombre de usuario, contraseñas, número de credencial e imagen, dirección IP, identificadores o cookies en línea, registros, tiempos de acceso y conexión, imágenes de CCTV).
⦁ Para el caso de un Contratista y representante de un proveedor, Diageo podrá obtener sus datos personales de una serie de fuentes, incluido del empleador (o según corresponda) y de cualquier detalle que proporcionen a Diageo posteriormente durante la relación comercial.
⦁ A través de Monitoreamos las comunicaciones en nuestras redes, incluidas las redes de telefonía móvil y de oficina y como se detalla en la Política Global de Administración y Seguridad de la Información de Diageo. La información recopilada puede ser revisada periódicamente por personal autorizado para garantizar el cumplimiento de las políticas y detectar cualquier uso no autorizado de nuestra infraestructura y sistemas de TI.

Para el caso de Proveedores y Clientes:

Diageo podrá recopilar información personal como parte del proceso de verificación de identificación de Socio Comercial ("Conozca a su Cliente" o "Conozca a su Socio Comercial", según corresponda), por ejemplo, copias de documentos de identificación y detalles de la calidad y condición de Titular de la empresa. Diageo podrá recopilar esta información directamente a través del Titular o de un tercero (Ejemplo: empleador), o en las circunstancias establecidas a continuación, de una agencia de referencias crediticias.

En el transcurso de la relación comercial entre Diageo y el Proveedor (incluidos Contratistas) y Clientes, Diageo podrá recopilar y procesar categorías adicionales de datos personales que no se hayan especificado en esta sección y que hayan sido divulgas voluntariamente por el Titular. Al respecto, Diageo se compromete a ser transparentes sobre cualquier nuevo procesamiento de datos personales.

Tener en cuenta que cuando Diageo realiza cualquier verificación contra el lavado de dinero u otros controles legalmente obligatorios respecto de un Proveedor y Cliente, procesamos información sobre condenas penales, opiniones políticas u otros datos de categoría especial, Diageo lo hace sobre la base de que (i) El Titular ha dado su consentimiento explícito, reconociendo que el procesamiento es estrictamente necesario para Diageo con el fin de continuar nuestra relación comercial con el Proveedor y Cliente a la luz de los compromisos legales y comerciales o (ii) es necesario para la prevención, detección, enjuiciamiento o litigio contra actos ilegales, incluida la financiación del terrorismo y el lavado de dinero.

⦁ ¿Cómo y dónde DIAGEO recolecta datos personales?

Diageo tendrá acceso a datos personales suministrados de la siguiente manera:

⦁ Datos personales suministrados por el Titular: Existen varias situaciones en las que el Titular puede suministrar datos personales directamente. Estas incluyen:

⦁ Cuando el Titularparticipa en una actividad promocional o concurso.
⦁ Cuando el Titular completa un formulario en línea (tal como ocurriría al llenar una encuesta de satisfacción).
⦁ Cuando el Titular suministra detalles de un medio de pago como tarjetas de crédito (tal como ocurriría al comprar productos en el sitio web o aplicación de Diageo).
⦁ Cuando el Titular contacta a Diageo para hacernos alguna pregunta o para pedir que le suministremos alguna información.
⦁ Cuando el Titular se registra o deja comentarios o reseñas en un sitio web o aplicación de Diageo.
⦁ Cuando el Titular asiste a alguno de los eventos promocionales de Diageo.
⦁ Cuando el Titular renvía un ítem a algún amigo.
⦁ Cuando el Titular nos informa sus preferencias publicitarias y de marketing.
⦁ Cuando el Titular se comunica con Diageo a través de redes sociales, aplicaciones de terceros o tecnologías similares.

Para estos casos, Diageo informará al Titular cuáles de los datos personales son obligatorios u opcionales. También se explicarán las consecuencias que se ocasionen en caso de que el Titular no proporcione datos que se han señalado como obligatorios, en algunas circunstancias esto repercute en que Diageo no estará en capacidad de suministrar ciertos servicios o productos al Titular.

⦁ Datos personales recolectados o generados automáticamente: Cuando el Titular de datos navega o usa sitios web o aplicaciones de Diageo (así como algunos sitios web de terceros con quienes Diageo tiene alianza), se emplean cookies y tecnologías similares para recolectar datos automáticamente de uno más de sus dispositivos asociados con el Titular. También son utilizadas ciertas técnicas y tecnologías automatizadas para inferir o generar información adicional sobre el Titular de los Datos Personales como, por ejemplo, al analizar o predecir ciertos aspectos personales tales como preferencias o intereses personales.

Adicionalmente, Diageo recibe direcciones IP de todos los usuarios dado que esta información es reportada automáticamente por su navegador cada vez que una persona visita un sitio web. Para la mayoría de los usuarios que acceden a internet, las direcciones IP serán distintas cada vez que se registran. Las direcciones IP generalmente se registran en un archivo denominado “log files”.

⦁ Información que obtenemos de terceros: En adición a los datos recolectados en las formas ya descritas, Diageo cuenta con alianza con terceros y puede usar servicios de terceros para

recolectar sus datos personales de otras fuentes. Al respecto, Diageo recolectara esta información, siempre que el Titular haya autorizado hacerlo o se cuente con autorización legal para hacerlo. Esta información puede incluir:

⦁ Datos de otras organizaciones que han obtenido la autorización del Titular para compartir sus datos personales.
⦁ Datos a los que tiene acceso Diageo cuando alguien le refiere los servicios o productos de Diageo.
⦁ Datos que podemos requerir de otras organizaciones para cumplir nuestras obligaciones legales.
⦁ Datos que son de carácter público.
Algunos de los lugares de donde se obtienen datos de terceros puede provenir de fuentes de información pública como el registro civil, plataformas de redes sociales de terceros y otros sitios web de terceros con los que Diageo se encuentra asociado (A través de los cuales se puede recolectar información referente a nombres, edad, dispositivos, navegador, productos vistos en línea, entre otros).

⦁ Autorización y Tratamiento de Datos Personales

Al momento de la recolección de Datos Personales, Diageo solicitará autorización a los Titulares de los Datos para realizar el tratamiento correspondiente, excepto para aquellos casos en que exista una facultad legal para realizar el Tratamiento de los Datos Personales sin necesidad de autorización (Ver Sección No. 13 “Casos en que no es necesaria la Autorización del Titular”). La Compañía le suministrará la información completa de contacto de los terceros que lleven a cabo Tratamiento de sus Datos Personales, cuando así sea solicitado por el Titular.

Diageo podrá solicitar en cualquier momento Datos Sensibles, informándole al Titular al momento de la recolección, el carácter de Datos Sensibles que se solicitan, y qué tipo de Datos Sensibles se recolectarán. En todo caso, Diageo observará estrictamente las limitaciones legales al Tratamiento de Datos Sensibles y no condicionará en ningún caso, ninguna actividad a la entrega de Datos Sensibles, salvo que exista un mandato legal o alguna excepción que no requiera la autorización para el Tratamiento de Datos Sensibles.

Para el caso de Proveedores y Clientes:

El Tratamiento de Datos Personales de Proveedores y Clientes es necesario para que podamos cumplir con la relación comercial que tiene con Diageo (o tomar medidas antes de formalizar una relación comercial) o para cumplir con las obligaciones legales a cargo de Diageo.

El procesamiento de la información también es necesario para los intereses legítimos de Diageo, incluido el beneficio de servicios rentables, para ofrecer y comercializar productos y garantizar el cumplimiento de las obligaciones legales y la administración de Diageo con los proveedores. Cuando Diageo procesa datos personales para un interés legítimo, se limitará ese procesamiento estrictamente a lo necesario para lograr ese objetivo.

En circunstancias limitadas, Diageo podrá solicitar el consentimiento del Proveedor y Cliente para tratar datos personales para un propósito en particular, y en esas circunstancias el Titular podrá decidir.

Los datos personales objeto de tratamiento pueden almacenarse de manera no estructurada, como registros en papel y en el correo electrónico de Outlook, y de manera estructurada dentro de varios sistemas, aplicaciones, soluciones y bases de datos de Diageo, algunos de los cuales pueden ser propiedad u operados por terceros, para este caso, Diageo define con calidad su calidad de Responsable, y por su parte, la posición de Encargado del Tratamiento por parte del tercero, y adicionalmente, se

formalizan los requisitos contractuales para proteger los datos personales (Contrato de Transmisión de Datos entre Diageo y el tercero – Encargado-).

⦁ Finalidades del Tratamiento de Datos Personales

Los Datos Personales que recolecta Diageo son incluidos en bases de datos organizadas, a las cuales tiene acceso el personal autorizado de la Compañía en ejercicio de sus funciones, advirtiendo que en ningún caso está autorizado el Tratamiento de la información para fines diferentes a los descritos en la presente Política o en la autorización de tratamiento de Datos Personales en virtud de la relación civil, comercial y/o laboral que tenga con la Compañía, y una vez cese la necesidad del Tratamiento de los Datos Personales, los mismos serán eliminados de las bases de datos de Diageo o archivados, de acuerdo con las exigencias legales establecidas para el efecto.

De forma general, y sin perjuicio de las finalidades específicas que puedan ser autorizadas por el Titular al momento de aceptar el tratamiento de sus datos personales, las diferentes finalidades del tratamiento que hará DIAGEO de datos personales podrán ser las siguientes:

⦁ Comunicaciones de mercadeo: Tratar los datos personales para comunicarnos con el Titular a través de canales como correo electrónico, SMS, teléfono, correo postal y publicaciones sobre los servicios y productos de Diageo, y aquellos de nuestras subsidiarias, afiliadas y compañías matrices, y sus negocios relacionados. Esto puede incluir el uso de la fecha de nacimiento del Titular para enviarle ofertas especiales para su cumpleaños. El Titular tiene derecho a revocar su autorización de tratar sus datos personales para recibir comunicaciones de mercadeo, en ejercicio de los derechos descritos en la sección 8 de la presente Política.

⦁ Análisis de mercadeo: Emplear los datos personales para análisis de mercadeo, por ejemplo, para analizar tendencias entre los consumidores y lo que la gente está diciendo sobre los productos de Diageo, para evaluar el impacto y efectividad de nuestras promociones y campañas de mercadeo, y para analizar la cantidad y tipo de visitantes de los sitios web y/o de usuarios de las aplicaciones de Diageo (incluyendo las ubicaciones geográficas desde las cuales tales visitantes/usuarios acceden a los sitios web y aplicaciones de Diageo). Con frecuencia, Diageo agrupa la información personal para estos fines, y de esta manera, el Titular ya no pueda identificarse a ninguna persona en particular.

⦁ Publicidad en línea basada en intereses: Usar técnicas como la “publicidad comportamental en línea” y la “publicidad programática”, que involucran el uso de datos personales (y el compartirlos con los proveedores de servicios) para exhibir la publicidad más apropiada y relevante para el Titular de Datos Personales en los sitios web, aplicaciones o sitios web de terceros (incluyendo plataformas de redes sociales). También serán usados los datos personales para determinar si el Titular es miembro de una plataforma de redes sociales particular, de forma que Diageo pueda exhibir publicidad en dicho servicio o para identificar consumidores que comparten características e intereses personales con usted, con la finalidad de hacer el mercadeo más relevante para:

⦁ Poder compartir al Titular publicidad en ese servicio o
⦁ Poder identificar a los consumidores que comparten intereses y características similares con el Titular, con el fin de hacer nuestra publicidad más relevante para los consumidores. Ejemplo de esto son los productos de Facebook "Públicos personalizados” y "Públicos similares” que Diageo puede utilizar en ciertos países sujeto a la legislación local.
Es importante tener en cuenta que el Titular de Datos Personales tienen derecho a dar de baja en cualquier momento el uso de su información personal para la “Publicidad personalizada en línea”.

Para obtener mayor información sobre “Publicidad personalizada en línea”, consultar la sección 21 “Cookies y tecnologías similares” de la presente Política.

⦁ Verificación de publicidad en línea: Tratar los datos personales del Titular para monitorear la publicidad digital y asegurar que no sea exhibida en sitios web inadecuados o en proximidad a contenido inapropiado, y también para asegurar que la publicidad sea visible y vista en línea por personas reales (por oposición a bots u otras técnicas fraudulentas similares).

⦁ Renvíos a algún amigo: Cuando el Titular suministra información de otra persona, como ocurre cuando el Titular solicita que le enviemos a alguien información desde uno de los sitios web, Diageo enviará la información a la persona referida. El Titular debe confirmar que ese “amigo” es mayor de edad de conformidad con la jurisdicción aplicable al lugar en donde éste se encuentra ubicado, para que Diageo pueda transmitir la información solicitada y que el Titular se sienta complacido por recibir dicha comunicación.

⦁ Autenticación y control de acceso: Usar los datos personales para autenticar el acceso a los sitios web o aplicaciones de Diageo, y para determinar qué contenidos son suministrados y/o si se debe otorgar acceso a cierto contenido (por ejemplo, verificar la edad o lugar de ubicación para asegurar que es mayor de edad de conformidad con la jurisdicción aplicable al lugar en donde se encuentra ubicado). Diageo también podrá usar los datos personales para verificar la identidad del Titular cuando se brinde respuesta a cualquier solicitud relativa al ejercicio de sus derechos de conformidad con la legislación aplicable.

⦁ Cumplir obligaciones legales y proteger de cualquier reclamo o responsabilidad legal: Usar los datos personales para cumplir con las obligaciones legales, proteger a Diageo de reclamaciones legales, o detectar, proteger o defender a Diageo, filiales, empleados o terceros de Diageo ocasionalmente de errores, negligencia, incumplimientos contractuales, hurto, fraude u otras actividades ilegales o perjudiciales, para cumplir los requerimientos regulatorios, de auditoría y seguridad, o para auditar el cumplimiento de las políticas y procedimientos corporativos, u obligaciones contractuales.

⦁ Servicio al cliente: Usar los datos personales para prestar ciertos servicios que requiere el Titular de Datos Personales, así como para suministrar servicios adicionales que puedan ser de interés. También serán usados los datos personales para mantener las cuentas de usuario y gestionar transacciones tales como pagos con tarjetas de crédito para cualquiera de los productos que el Titular compre con Diageo o aliados, para el cumplimiento de dichas transacciones (por ejemplo, entregas) o para responder cualquier pregunta que el Titular pueda tener. También podrán ser usados los datos personales del Titular para notificarle sobre cambios en los servicios, los términos y condiciones o un Aviso de Privacidad y Cookies.

⦁ Operaciones corporativas: Usar datos personales en el evento de una venta, fusión, consolidación, cambio de control, transferencia sustancial de activos, financiamiento, reorganización o liquidación, que tenga como consecuencia la transferencia, venta o cesión a un tercero de los datos personales concernientes a la relación que tenga el Titular con Diageo.

⦁ Mantenimiento técnico: Usar datos personales para finalidades de administración del sistema y para diagnosticar problemas tecnológicos o de servicio que reporten los usuarios o ingenieros. Este tipo de problemas puede estar asociado a la dirección IP controlada por una compañía web o proveedora de servicios de internet.

Cuando el Titular represente a uno de los proveedores o clientes de Diageo (o si es una persona física que actúa como uno de proveedores o clientes de Diageo), además de lo establecido anteriormente, también se aplicarán las siguientes finalidades:

⦁ Verificación de Identificación: Aplica para el caso de Proveedores y Clientes, y se emplea para usar una agencia de referencias crediticias para ayudar con esas verificaciones y, por lo tanto, Diageo podrá compartir con la agencia cierta información personal, incluido nombres y apellidos, dirección personal y dirección anterior, fecha de nacimiento y sexo, que permitan administrar la relación con los clientes y proveedores, incluido el procesamiento de pedidos.

⦁ Organizar la negociación, venta y entrega de productos con Proveedores y Clientes.

⦁ Organizar licitaciones e implementarlas tareas para la preparación o ejecución de contratos existentes con Proveedores y Clientes.

⦁ Revisar y confirmar la situación financiera de un Proveedor y Cliente: En circunstancias en las que Diageo considere establecer o continuar una relación comercial (por ejemplo, como comerciante individual), otorgar un crédito o evaluar solvencia crediticia. Como resultado, Diageo se reserva el derecho de recopilar y compartir información crediticia relevante con los terceros que corresponda.

⦁ Supervisar la ejecución de actividades en las instalaciones de Diageo: Aplica para el caso de Proveedores y Clientes, e incluye el cumplimiento de las políticas aplicables y de las normas de salud y seguridad vigentes.

⦁ Permitir el acceso a módulos de capacitación de Diageo.

⦁ Archivar y mantener registros.

⦁ Realizar cobro y/o presentar facturación de Proveedores y Clientes.

⦁ Cumplir y respetar los Código de Conducta Empresarial y los requisitos de gobernanza interna de Diageo: Es aplicable a Proveedores y Clientes, y corresponde a la gestión de infracciones y los requisitos de cumplimiento, incluidas las revisiones y auditorías de aseguramiento y asesoramiento para garantizar un entorno de control y cumplimiento adecuado. legales o contractuales. Asimismo, se incluyen (i) Llevar a cabo investigaciones internas donde haya razones para creer y un requisito para evaluar que ha habido un incumplimiento del Código de Conducta Comercial de Diageo, (ii) Cumplir con las obligaciones de prevención contra el fraude, soborno y el lavado de dinero, tanto al comienzo de la relación comercial Con Proveedor como de manera continua y (iii) Procesamiento de datos personales con fines de prevención y detección de delitos, incluso cuando es necesario para la evaluación del riesgo o la prevención del fraude, así como la salud y la seguridad.

⦁ Comunicar y proporcionar información, noticias y actualizaciones de Diageo: Incluidos los sistemas de monitoreo de viajes, los sistemas de alerta de emergencia para empleados y otras comunicaciones relevantes.

⦁ Transmisión en vivo de imágenes mediante el uso de aplicaciones, incluidas, entre otras, Zoom y Microsoft Teams.

⦁ Monitorear para garantizar la seguridad de la red e información de Diageo y cumplir con los objetivos de Gestión y Seguridad de la Información de Diageo.

⦁ Gestión rutinaria de las actividades comerciales y operativas diarias con proveedores y clientes, como la información de contacto.

El Tratamiento de los Datos Personales puede continuar después de la terminación de la relación comercial que tengan Proveedores y Clientes con Diageo (según corresponda y sea necesario) y de acuerdo con la presente Política y Aviso de Privacidad, para casos puntuales, tales como cualquier litigio o disputa, y cuando hay una autorización expresa para hacerlo.

⦁ Transferencia de Datos Personales a terceros

Diageo podrá trasmitir y/o transferir sus Datos Personales a cualquier compañía que haga parte del Grupo Empresarial, así como a terceros ubicados en Colombia o en el exterior, incluso si se encuentran ubicados en países que no proporcionen niveles adecuados de protección; esto, siempre y cuando medie previa y expresa autorización del Titular de los Datos Personales, o exista (i) una permisión legal para el caso de Transferencias o una Declaración de Conformidad expedida por la SIC, o (ii) un contrato de Transmisión de Datos Personales, que cumpla con los requisitos establecidos en el Decreto 1074 de 2015.

A continuación, informamos en qué caso Diageo podrá transferir datos personales a:

⦁ Terceros autorizados por el Titular de Datos Personales, por ejemplo, Diageo obtendrá la autorización del Titular de los Datos, antes de permitirle a algún tercero que no sea un afiliado que le envíe información publicitaria y promocional que se relacione con los productos o servicios de dicho tercero.
⦁ Proveedores de servicios, contratistas, incluyendo afiliados y/o sitios web de terceros (tales como plataformas de redes sociales o motores de búsqueda) contratados para ejecutar funciones en nombre de Diageo, o para prestar los servicios (tales como almacenamiento y envío), mercadeo y publicidad (incluyendo publicidad en línea basada en intereses en sitios web de terceros y plataformas de redes sociales, si el Titular ha autorizado el uso de cookies publicitarias fijadas por Diageo o aliados); procesamientos de datos y tarjetas de crédito; verificación de mayoría de edad; monitoreo de publicidad digital para asegurar que no aparezca exhibida en sitios web inadecuados o junto a contenido inapropiado, y también para asegurar que la publicidad sea visible y sea vista en línea por personas reales (por oposición a bots o técnicas fraudulentas similares); desarrollo de software; hosting y administración de sitios web; tecnología de información y servicios de oficina; servicios legales, de contabilidad, de auditoría y otros proveedores de servicios profesionales; y otros servicios relacionados con el negocio, en el entendido de que dichos proveedores y contratistas han celebrado contratos con Diageo y no recolectan, usan o divulgan datos personales para finalidad alguna que no sea la de prestar los servicios contratados con Diageo o de ejecutar las funciones que correspondan en nombre de Diageo, o cuando de otra manera lo permita o requiera la ley.
⦁ Terceros que suministren o busquen información como representante o apoderado del Titular.
⦁ Personas o entidades, incluyendo afiliadas de Diageo, en el evento de una venta, fusión, consolidación, cambio de control, transferencia sustancial de activos, financiamiento, reorganización o liquidación, mediante el cual Diageo transfiere o cedas a dicho tercero información relativa a su relación con Diageo, incluyendo, sin limitación, datos personales que el Titular haya suministrado.
⦁ Autoridades de policía, gubernamentales o regulatorias, u otros terceros para cumplir con la legislación aplicable, o cuando Diageo considere que es necesario para cumplir con la legislación aplicable, o para detectar, proteger o defender a Diageo y a terceros de errores, negligencia, incumplimientos contractuales, hurtos, fraudes u otras actividades ilegales o perjudiciales, de forma que Diageo pueda cumplir con los requerimientos de auditoría y seguridad, o para auditar el cumplimiento de las políticas y procedimientos corporativos y obligaciones legales o contractuales.

⦁ Transferencia internacional de datos

Los datos personales de un Titular pueden ser transferidos o transmitidos y almacenados en una ubicación fuera de Colombia o a aquél en que el Titular reside, incluyendo países que tienen un régimen de protección de datos menos exigente o inexiste. Cuando quiera que Diageo transfiera o transmita sus datos, Diageo

tomará las acciones razonablemente necesarias para asegurar que se cuente con los elementos necesarios para proteger sus datos personales y para asegurar que sean tratados de forma segura.

⦁ Casos en que no es necesaria la Autorización del Titular

La autorización del Titular de los Datos Personales no será necesaria cuando se trate de:

⦁ Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
⦁ Datos de naturaleza pública.
⦁ Casos de urgencia médica o sanitaria.
⦁ Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
⦁ Datos relacionados con el registro civil de las personas.

⦁ ¿Cómo se realiza el almacenamiento de los Datos Personales?

El almacenamiento de los Datos Personales de manera digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos de Diageo, lo que involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

⦁ ¿Cómo se realiza la destrucción de los Datos Personales?

La destrucción de los Datos Personales medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

⦁ Atención de consultas y solicitudes de corrección, actualización y/o supresión de Datos Personales y reclamos.

El Titular de los Datos Personales podrá ejercer sus derechos sobre sus Datos Personales en cumplimiento con el siguiente procedimiento:

El horario de atención lunes a viernes en los siguientes horarios: 8:00 a.m a 5:00 p.m.

Diageo no atenderán temas diferentes a consultas y reclamos de Protección de Datos en el correo electrónico descrito ni se entenderá que este es un correo oficial dispuesto por Diageo Colombia para ser notificado de otros asuntos que no estén relacionados única y exclusivamente con la acá dispuesto.

El Titular o heredero sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante Diageo, dentro de los plazos ya referidos.

Para el caso de los empleados de Diageo, cualquier inquietud o solicitud relacionada con el contenido o interpretación de esta Política, por favor contacte al Departamento Legal de Diageo Colombia.

⦁ ¿Por cuánto tiempo trataremos sus datos personales?

El período de retención de sus datos personales será el que sea necesario para cumplir las finalidades descritas en el Aviso de Privacidad y Cookies, en el documento de autorización de tratamiento de datos personales o en esta Política, salvo que debamos mantenerlos por un período de retención más largo o que así lo permita la ley. Al final de este período sus datos serán suprimidos o, en algunos casos, anonimizados.

Por ejemplo, si el Titular ha hecho una compra a través del sitio web o aplicación de Diageo, mantendremos un registro de su compra por el tiempo que sea necesario para finalidades de facturación, tributarias y de garantía. También podremos mantener un registro de la correspondencia que nos hayamos cruzado con usted (por ejemplo, si usted ha elevado una queja) por el tiempo que sea necesario para defendernos ante una eventual reclamación legal.

En los casos en que hayamos recolectado sus datos personales con su autorización y no tengamos un fundamento legal para continuar tratándolos, si usted subsecuentemente revoca su autorización, suprimiremos sus datos. Sin embargo, por favor tenga en cuenta que, si usted pide que cancelemos su suscripción a nuestras comunicaciones publicitarias, mantendremos un registro de sus datos de contacto para asegurar que no le enviemos comunicaciones publicitarias en el futuro.

Para el caso de Proveedores:

Cuando una persona natural Titular de Datos es representante de un proveedor o clientes, Diageo continuará reteniendo la información personal siempre que el Titular sigua siendo un contacto apropiado para gestionar y permitir la ejecución de la relación contractual, así como ejercer sus obligaciones en virtud los intereses comerciales legítimos.

⦁ Áreas Públicas de los Sitios Web y aplicaciones de Diageo

La información que el Titular de Datos publica en o a través de las áreas públicas de los sitios web y aplicaciones de Diageo (por ejemplo, salas de chat, tableros de anuncios, grupos de discusión) o en páginas de redes sociales, generalmente está accesible y puede ser recolectada y utilizada por otros y puede resultar en mensajes no solicitados u otros contactos. El Titular no debe proporcionar su información personal en áreas públicas (o interactivas) de los sitios web, aplicaciones o páginas de redes sociales de Diageo.

⦁ Seguridad de la Información

Diageo ha puesto en práctica medidas físicas, técnicas y organizativas adecuadas para salvaguardar la información que recopila y almacena. Sin embargo, Diageo no cuenta con ningún control sobre la privacidad de ninguna comunicación mientras esté en tránsito hacia Diageo. Por lo tanto, el Titular de Datos no debe incluir información confidencial, patentada o delicada en dichas comunicaciones.

Ninguna transmisión de datos a través de Internet o cualquier sistema de almacenamiento de datos se puede garantizar como 100% segura, por esta razón, si el Titular de Datos tiene argumentos para creer que su interacción con Diageo ya no es segura (por ejemplo, si siente que la seguridad de cualquier cuenta que pueda tener con Diageo se ha visto comprometida), es deber del Titular avisar a Diageo inmediatamente respecto del inconveniente que está presentado poniéndose. Los canales de Contacto se encuentran descritos en la sección 18 de la presente Política.

En caso de se presente algún riesgo respecto de los sistemas de almacenamiento de datos, Diageo hará todo lo posible para efectuar la respectiva notificación al Titular de los Datos tan pronto como sea posible, y siempre y cuando Diageo cuente con información del Titular.

Se le recuerda que, de acuerdo con las Condiciones de Uso de la página web o aplicación de Diageo, el Titular es responsable de mantener la estricta confidencialidad de la contraseña de su cuenta y de toda actividad que se lleve a cabo bajo su cuenta y contraseña. Es de exclusiva responsabilidad del Titular controlar la difusión y utilización de la contraseña, el acceso a la cuenta y el uso de la misma, y notificar a Diageo cuando desee cancelarla. Diageo no será responsables por ninguna pérdida o daño que surja al respecto.

⦁ Interfaces con sitios web y servicios de terceros

Los sitios web de Diageo puede tener vínculos, referencias o contenidos de otros sitios web ajenos al control de Diageo, en consecuencia, el Titular de Datos debe tener en cuenta que no tenemos control

alguno sobre esos sitios web ni esos servicios, y que nuestra Política de Tratamiento de Datos y Cookies, así como el Aviso de Privacidad no es de aplicación de estos sitios web.

Diageo no será responsable ante el Titular por ningún problema que surja en relación con el uso que ellos hagan de su información, por lo que Diageo le recomienda a los Titulares a que lean el “Aviso de Privacidad y Cookies”, así como las Condiciones de Uso de cada uno de los sitios web o servicios vinculados, referenciados o interconectados que el Titular visite o use.

⦁ Cookies y tecnologías similares

Los sitios web de Diageo usan cookies, scripts, pixel tags, etags, web beacons y tecnologías similares (en adelante y de forma conjunta “cookies”) que permiten recolectar y almacenar información sobre los visitantes, y de ciertos sitios web de terceros con los que Diageo se ha aliado.

Diageo usa un rango de cookies en sus sitios web, incluyendo cookies estrictamente necesarios, cookies de desempeño/analíticos, cookies funcionales y cookies publicitarios. Las cookies pueden ser fijadas por Diageo o por terceros, incluidas las cookies publicitarias, que son usadas por los aliados agencias de publicidad aliadas para la exhibición de anuncios publicitarios en línea basados en su actividad. Cuando una persona visita el sitio web de Diageo por primera vez, se le preguntará si acepta las cookies no esenciales a través del Centro de Preferencia de Cookies (en adelante “el CPC”), y Diageo no usará estas cookies a menos que y solo en el evento en que el Titular autorice a Diageo. El Titular también puede cambiar su decisión en cualquier momento a través del CPC o de los ajustes de su navegador de internet o dispositivo.

Si el Titular tiene alguna inquietud sobre el uso de cookies por parte de Diageo, puede ponerse en contacto con Diageo a través de los datos de contacto que se indican en la Sección 18 de la presente Política.

Qué es una cookie?

Una cookie es un hilo de información de sólo-texto que un sitio web transfiere al archivo cookie del navegador en el disco duro de su dispositivo. Una cookie normalmente contiene el nombre de dominio de cual proviene la cookie, el “tiempo de vida” de la cookie y una cifra, que usualmente es un número único generado aleatoriamente. Las otras tecnologías que usamos cumplen funciones similares, pero su funcionamiento es ligeramente diferente.

Diageo utiliza dos (2) tipos generales de cookies:

⦁ Cookies de origen: Provistas directamente por parte de Diageo en el dispositivo del Titular, cuando el Titular visita el sitio web de Diageo.
⦁ Cookies de terceros: Instaladas por un tercero en nombre de Diageo cuando el Titular visita el sitio web de Diageo y ciertos sitios web de terceros con los que Diageo se ha asociado.

Estas cookies se pueden dividir en cookies de sesión y cookies persistentes. Las cookies de sesión son cookies temporales que le recuerdan sus selecciones y preferencias de usuario, que luego son eliminadas tan pronto el Titular abandona el sitio. Las cookies persistentes permanecen en una de las subcarpetas del navegador del Titular hasta que las elimine manualmente o hasta que expiren.

Centro de preferencias de cookies ("CPC")

Cuando una persona ingresa a un sitio web de Diageo por primera vez y cuando corresponda en función de su jurisdicción, Diageo le preguntará por las preferencias de cookies del Titular a través del CPC de Diageo. A través del CPC, puede optar por proporcionar o denegar su consentimiento para las cookies no

esenciales y Diageo solo usará estas cookies siempre y cuando se tenga el consentimiento del Titular para hacerlo. El Titular puede desactivar estas cookies en cualquier momento a través del CPC (accesible a través del enlace de configuración de privacidad o cookies en la parte inferior de la páginas web de Diageo) o a través de la configuración del navegador.

Las cookies son útiles porque le permiten al sitio web reconocer el dispositivo de un usuario. Encuentre más información sobre cookies el “Aviso de Privacidad y Cookies de Diageo” y en www.allaboutcookies.org.

⦁ Vigencia de la Política para el Tratamiento de Datos Personales de Diageo Colombia S.A. La presente actualización de la Política rige a partir del diez (10) de marzo de 2022.
Esta Política podrá ser modificada por Diageo cuando así lo requiera sin previa notificación, siempre que
se trate de modificaciones no sustanciales. Únicamente las modificaciones respecto de las finalidades del Tratamiento y de los datos del responsable del Tratamiento, o cualquier otra modificación sustancial serán comunicadas previamente a los Titulares.