Política de protección de datos personales Giratur s.a.s - Giratur Travel

Política Tratamiento de Datos Personales

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES GIRATUR S.A.S

GIRATUR S.A.S. – GIRATUR TRAVEL

RNT 803 (Agencia de Viajes y Turismo)

RNT 10906 (Agencia de Viajes Mayorista)

Versión: 1.0 –

Vigencia: enero de 2026

1. Identificación del Responsable del Tratamiento.

GIRATUR S.A.S, sociedad legalmente constituida en Colombia, identificada con el NIT 890.928.375 – 1, con domicilio principal en la Transversal 19A # 98-12, Ofc. 401, Bogotá D.C., Colombia, y con Registro Nacional de Turismo 803 como Agencia de Viajes y Turismo y 10906 como Agencia de Viajes Mayorista expedidos por el Ministerio de Comercio Industria y Turismo.
Para efectos de contacto, la entidad pone a disposición de los titulares de los datos personales los números telefónicos +57 (601) 755-9999 / +57 310 808 6624, el correo electrónico info@giraturtravel.com y su sitio web oficial: www. giraturtravel.com

2. Marco normativo

GIRATUR S.A.S, en adelante GIRATUR, actuando como (i.) entidad responsable del tratamiento de datos personales en el desarrollo de sus actividades como Agencia de Viajes y Turismo (RNT 803) y (ii.) como entidad encargada del tratamiento de datos personales al llevar a cabo su objeto como Agencia de Viajes Mayorista (RNT 10906), se compromete a garantizar la protección y el manejo adecuado de la información personal de clientes, proveedores, colaboradores, contratistas, candidatos y demás titulares. En cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 y demás normativas vigentes en materia de protección de datos personales, adopta la presente Política de Tratamiento de Datos Personales.
Esta política establece los principios, lineamientos y compromisos que rigen la recolección, almacenamiento, uso, circulación, transferencia y supresión de los datos personales por parte de la organización. Su objetivo es comunicar e informar qué tipo de información se recolecta, los fines con los que esto se hace, cómo se utiliza, en qué casos se comparte y qué medidas se adoptan para proteger la información. Asimismo, detalla los derechos que asisten a los titulares de la información y los procedimientos establecidos para ejercerlos.
El propósito principal de esta política es velar por la protección efectiva de los derechos de los titulares, asegurando que el tratamiento de los datos se realice conforme a la ley y bajo principios que garanticen su confidencialidad, integridad y disponibilidad.

Página 1 de 18

3. Alcance y el “doble rol” de GIRATUR (B2C y B2B mayorista)

Esta Política aplica al tratamiento de datos personales que realiza GIRATUR en el marco de sus relaciones con clientes, usuarios y pasajeros, proveedores, empleados, candidatos, visitantes y terceros vinculados o cualquier persona que tenga relación comercial y/o contractual, como los que se puedan consolidad en sus canales físicos y digitales (web, formularios, correo, teléfono, WhatsApp, redes sociales, atención presencial y eventos, así como los requisitos para consultas y reclamos, las finalidades, medidas de seguridad, y otros aspectos relacionados para la protección de la información personal.
En el marco de su operación GIRATUR opera en dos frentes, lo cual impacta el flujo de datos de la siguiente forma:

3.1 Venta directa al viajero (B2C – Agencia de Viajes y Turismo): GIRATUR actúa como Responsable del Tratamiento, pues decide finalidades y medios para cotizar, reservar, operar el viaje, atender al cliente y facturar.

3.2 Operación mayorista (B2B – Agencia Mayorista): GIRATUR también podrá actuar como Encargado del Tratamiento, cuando organiza/coordina y opera programas turísticos como mayoristas para otras agencias de viajes (p. ej., circuitos internacionales, salidas especiales) y define los medios para su ejecución. En este escenario, para efectos del tratamiento, el cliente será responsable y GIRATUR encargado, gestionando los datos por cuenta de la agencia cliente, siguiendo sus instrucciones y las decisiones que indique sobre la base de datos, únicamente para ejecutar el servicio encargado (p. ej., back-office operativo contratado).

4. Definiciones

Dato personal: Información que permite identificar a una persona natural.
Dato sensible: Información que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación (por ejemplo, salud, orientación sexual, origen étnico).
Dato público: Es el dato que no sea semiprivado, privado o sensible.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales a cargo de un tercero.
Titular: Persona natural cuyos datos son objeto de tratamiento.
Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
Tratamiento: Cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación o supresión).
Responsable del tratamiento: Persona que decide sobre la base de datos y su tratamiento.
Encargado del tratamiento: Persona que realiza el tratamiento de datos por cuenta del responsable.
Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Página 2 de 18

Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.

5. Principios aplicables al tratamiento de datos

Principio de legalidad en materia de tratamiento de datos: el tratamiento a que se refiere la Ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular.
Principio de libertad: el tratamiento sólo poder ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o personas previstas en la Ley.
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la Ley.
Principio de seguridad: la información a tratamiento por el responsable o encargado del tratamiento a que se refiere la Ley se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley y en los términos de esta.

6. Tratamiento al cual serán sometidos los datos personales.

GIRATUR informa a los titulares de datos personales que la información recolectada de clientes, usuarios o pasajeros, contratistas y proveedores, empleados, candidatos y visitantes o cualquier persona que tenga relación comercial y/o contractual con GIRATUR, podrá ser objeto de Tratamiento

Página 3 de 18

para el cumplimiento de diversas finalidades específicas según su calidad como titular. El Tratamiento podrá ser realizado directamente por GIRATUR o por terceros autorizados tales como contratistas, consultores, asesores o encargados del tratamiento, quienes podrán llevar a cabo operaciones como la recolección, almacenamiento, uso, circulación, supresión, clasificación, transferencia o transmisión, total o parcial, de los datos personales, de acuerdo con las finalidades establecidas para cada categoría de titular.
Tratamiento de datos sensibles y de menores de edad: GIRATUR se abstendrá, en la medida de lo posible, de recolectar o tratar datos sensibles y aquellos correspondientes a menores de edad. Sin embargo, si llegara a ser indispensable para dar continuidad o iniciar una relación con el titular, se realizará el tratamiento conforme a la legislación aplicable, previa autorización del representante legal en el caso de menores o quienes tengan la patria potestad, conforme a lo establecido en el artículo 7 de la Ley 1581 de 2012. Asimismo, la Entidad garantizará que el titular sea informado de manera clara sobre los datos sensibles a tratar, las finalidades específicas de dicho tratamiento y su derecho a decidir libremente si desea suministrar o no dicha información.

6.1 Tratamiento Datos Personales a Clientes de la Agencia de Viajes y Turismo – Viajeros/pasajeros (B2C):

6.1.1 ¿Cuándo se recolectan estos datos Personales?

Cuando los clientes directos siendo titulares proporcionan voluntariamente sus datos personales, por ejemplo, al completar formularios digitales.
Cuando los titulares visitan la página web y se registran.
Cuando los titulares registran sus datos para agendar una cita para hablar con un asesor.
Cuando los titulares acceden, reservan o adquieren productos y servicios turísticos ofrecidos por la GIRATUR como Agencia de Viajes y Turismo, a través de cualquiera de sus canales de atención o venta.
Cuando los titulares registran sus datos para agendar una cita para hablar con un asesor.
Cuando los titulares comparten sus datos personales por medio de redes sociales.
Cuando los titulares se registran para elevar una PQRS.

6.1.2 Para tal efecto GIRATUR S.A.S podrá recolectar los siguientes datos:

Datos generales de Identificación de la persona: Nombres, apellidos, tipo de identificación como son cedula ciudadanía, pasaporte, Rut, tarjeta de identidad (NUIP), Licencia de conducción, cedula de extranjería, Registro Civil, número de identificación, parentesco, genero.
Datos específicos de la identificación de la persona: Firma, nacionalidad, fecha de nacimiento., edad. Datos de ubicación relacionados con actividad comercial o profesional de las personas: cargo, dirección, teléfono, correo electrónico. datos de familiares.
Datos de ubicación relacionados con actividad comercial o profesional de las personas: dirección, teléfono, correo electrónico
Datos de ubicación personal relacionados con actividad privada de las personas: ciudad de residencia, dirección, barrio, teléfono, correo electrónico.

Página 4 de 18

Datos personales de acceso a sistemas de información: usuarios, IP, claves, perfiles, huella de dispositivo.
Datos sensibles: Datos biométricos de la persona: Voz, video, imágenes de documentos de identificación pasaportes, cedulas, visa, licencia de conducción.
Datos de carácter económico de las personas: crediticios como números de tarjeta débito o crédito, fecha de vencimiento, nombre del titular de la tarjeta, código de verificación CVV o CVC, Tipo de tarjeta. Datos relacionados con el estado de salud de la persona que incluyen resultado de pruebas: certificados médicos generales o especializados.

6.1.3 Finalidades – Clientes de la Agencia de Viajes y Turismo – Viajeros/pasajeros (B2C):

6.1.3.1 Prestación y Gestión de Servicios Turísticos.

Procesar, confirmar, cumplir y prestar los servicios adquiridos, incluyendo reservas, emisión de tiquetes, hospedaje, organización de itinerarios, alquiler de vehículos y demás productos turísticos, directamente o a través de aliados comerciales como aerolíneas, hoteles, operadores, transportadores, entre otros, en calidad de intermediarios.
Enviar confirmaciones, recordatorios, notificaciones, actualizaciones o modificaciones sobre los servicios contratados, así como informar sobre cambios en condiciones o novedades mediante medios autorizados como correo electrónico, llamadas telefónicas entre otros.
Contactar al titular con el fin de recopilar, actualizar, conservar, procesar y utilizar su información personal o documentación, a través de los medios habilitados, para garantizar una comunicación efectiva y asegurar la adecuada prestación de los servicios ofrecidos.
Transmitir o transferir información al operador aéreo seleccionado para la correcta ejecución del servicio de transporte aéreo contratado. Esta transmisión o transferencia se realizará con el único propósito de facilitar la gestión de su reserva, el embarque y cualquier otro procedimiento relacionado con el servicio de transporte aéreo.

6.1.3.2 Mercadeo y Marketing.

Diseñar estrategias de mercadeo personalizadas, mediante el registro y análisis de información de los clientes, con el fin de mejorar la promoción de productos y servicios.
Proveer información comercial sobre los productos y servicios de GIRATUR, sus afiliadas y aliados estratégicos, con quienes se celebren acuerdos comerciales.
Evaluar y segmentar clientes con base en su comportamiento de compra, preferencias y necesidades, con el propósito de optimizar las estrategias comerciales.
Registrar y gestionar encuestas dirigidas a clientes, con el fin de evaluar la percepción sobre los productos y servicios ofrecidos por GIRATUR.
Recolectar y analizar información de clientes potenciales, con el objetivo de desarrollar estrategias de venta cruzada y aumentar el ticket promedio de conversión.
Realizar campañas publicitarias dirigidas a clientes actuales, a través de diversos canales de comunicación como correo electrónico y WhatsApp entre otros.
Organizar y clasificar a los clientes conforme a criterios comerciales, para optimizar las estrategias de mercadeo y ventas.

Página 5 de 18

6.1.3.3 Análisis y Mejora del Servicio.

Analizar tendencias de viaje y comportamiento de consumo a partir de los datos de reservas, con el fin de optimizar procesos internos y mejorar la calidad y oferta de los servicios turísticos
Realizar estudios estadísticos y operativos para fortalecer la experiencia del cliente con el propósito de mejorar la calidad de los productos y servicios.

6.1.3.4 Gestión Financiera y Contable.

Elaborar y ejecutar contratos, emitir facturas, administrar cobros, realizar pagos, y cumplir con obligaciones contables y financieras asociadas a los servicios contratados.
Registrar y gestionar las transacciones comerciales, pagos y cobros asociados.
Gestionar la información financiera relacionada con las reservas, incluyendo pagos, reembolsos, notas de abono, conciliaciones entre otros.
Generar, almacenar y gestionar facturas, reportes y demás documentos contables, tributarios y fiscales con el propósito de cumplir con las obligaciones establecidas en las normativas vigentes y atender los requerimientos de las autoridades

6.1.3.5 Atención al Cliente

Atender, registrar y hacer seguimiento a peticiones, quejas, reclamos, devoluciones y solicitudes relacionadas con los servicios adquiridos.
Dar respuesta a requerimientos, consultas, quejas o reclamos de entidades judiciales, administrativas, migratorias, aduaneras, de seguridad, bancarias u otras autoridades competentes, nacionales o internacionales.

6.1.3.6 Cumplimiento Legal y Seguridad

Reportar información requerida por autoridades migratorias, fiscales y de seguridad; dar cumplimiento a obligaciones legales contenidas en los RAC y/o en la normatividad internacional, tal y como la resolución 830 de IATA
Verificar la información en listas restrictivas (como OFAC, ONU, entre otras), como parte de las políticas de prevención del fraude, lavado de activos y financiación del terrorismo (SAGRILAFT – PTEE).
El afinamiento de los filtros de seguridad y las reglas de negocio en las transacciones comerciales, confirmar, procesar dichas transacciones, con su entidad financiera, con nuestros proveedores de servicios y con usted mismo.

6.1.3.7 Archivo y Conservación

Conservar registros históricos de interacciones comerciales, transacciones, y comunicaciones con clientes, asegurando su trazabilidad y disponibilidad.

6.1.3.8 Transmitir y/o transferir datos a terceros

Realizar la transmisión y/o transferencia de datos personales a aliados comerciales o terceros, incluso en el exterior, cuando sea necesario para la ejecución de los servicios contratados, bajo las condiciones permitidas por la ley.
Transmitir o transferir datos personales a terceros, dentro o fuera del país, cuando sea necesario para prestar el servicio, cumplir obligaciones legales o ejecutar un contrato.

Página 6 de 18

6.1.3.9 Datos Sensibles

Grabar y monitorear las comunicaciones telefónicas con el fin de evaluar, supervisar y mejorar la calidad del servicio prestado. Vigilar las instalaciones con propósitos de prevención y control de riesgos que puedan afectar la seguridad de las personas, los bienes y la infraestructura, exclusivamente durante el tiempo en que el titular se encuentre presente dentro las instalaciones de GIRATUR.
Recaudar, consultar y utilizar imágenes o copias de documentos de identificación personal tales como cédulas de ciudadanía, pasaportes, visas y licencias de conducción con el finde gestionar reservas nacionales e internacionales, emitir tiquetes, realizar trámites migratorios, coordinar servicios turísticos contratados y cumplir con los requisitos legales o contractuales exigidos por las autoridades nacionales o extranjeras y los proveedores de servicios turísticos.
Gestionar requerimientos especiales durante la prestación de servicios, tales como informar a proveedores sobre condiciones médicas o discapacidades que requieran una atención diferencial para el Titular.
Soportar formalmente procesos de cancelación o modificación de servicios cuando medie una situación de salud, como la devolución de dinero por la cancelación de un tiquete aéreo a causa de una incapacidad médica certificada.

6.2 Tratamiento Datos Personales transmitidos por Agencias Clientes y Aliados (B2B) a GIRATUR como Agencia Mayorista:

6.2.1 ¿Cuándo se recolectan estos datos Personales?

Cuando los agencias clientes, empresas aliadas, clientes corporativos comparten los datos personales de los titulares que como responsables tienen a cargo.
Cuando el responsable de una base de datos contentiva de información personal de los titulares (personas naturales) que se verán beneficiados con la ejecución de un servicio. En consecuencia, en términos de la legislación aplicable, sucede una transmisión de datos personales a cargo de las agencias clientes como responsables y GIRATUR mayorista fungirá como encargada.

6.2.2 Para tal efecto GIRATUR S.A.S como Agencia Mayorista podrá recolectar los siguientes datos:

Datos de contacto de representantes, asesores y funcionarios: nombre, cargo, teléfono, correo corporativo, historial comercial/operativo y confirmaciones.
Para llevar a cabo la ejecución del servicio contratado con GIRATUR, se recolectan de manera enunciativa los siguientes: nombres, número de identificación, número de pasaporte, teléfono, dirección de residencia o domicilio, correo electrónico, y cualquier otro dato que genere la determinación o determinabilidad del titular de la información.
En caso de entrega de datos personales de menores de edad, el responsable garantiza que lo hace con la expresa autorización del representante del menor para entregar la información, que el menor fue escuchado y se respetaron sus derechos fundamentales.

Página 7 de 18

Los datos de los menores de edad, comprendidos en una categoría especial de protección, se tratarán conforme lo dispone la legislación aplicable en la materia y de acuerdo con lo dispuesto en nuestra política de datos personales
Datos necesarios para facturar y soportar pagos/transacciones. GIRATUR puede habilitar pagos en línea mediante aliados (p. ej. “Zona Pagos”).
Datos sensibles: solo se solicitarán/tratarán cuando sea estrictamente necesario (por ejemplo, condiciones de salud para asistencia especial) y con las garantías y autorizaciones exigibles; es facultativo entregarlos.

6.2.3 Finalidades Tratamiento Datos Personales transmitidos por Agencias Clientes y Aliados (B2B) a GIRATUR como Agencia Mayorista

El Encargado realizará el Tratamiento de los Datos Personales transferidos por el Responsable única y exclusivamente para el cumplimiento de las siguientes finalidades. El Responsable deberá obtener la autorización, y bajo los lineamientos que este le imparta:

6.2.3.1 Gestionar y ejecutar servicios turísticos contratados por el Responsable con GIRATUR mayorista, incluyendo, pero sin limitarse a: reserva, emisión y modificación de tiquetes aéreos; reserva de alojamiento; organización de itinerarios; alquiler de vehículos; contratación de seguros de viaje; asistencia en destino, y demás servicios complementarios o conexos, ya sea directamente o a través de terceros aliados comerciales de GIRATUR.

6.2.3.2 Transmitir o transferir la información necesaria a operadores aliados, aerolíneas, hoteles, empresas de transporte, aseguradoras, operadores turísticos, u otros terceros involucrados en la prestación de los servicios contratados, con el único propósito de facilitar la correcta ejecución del encargo encomendado por el Responsable, incluyendo la gestión de reservas y demás actividades relacionadas.

6.2.3.3 Enviar comunicaciones necesarias para la ejecución del encargo tales como confirmaciones, recordatorios, modificaciones o actualizaciones respecto a los servicios prestados, a través de medios autorizados (correo electrónico, llamadas, mensajes de texto, entre otros).

6.2.3.4 Remitir información comercial y publicitaria sobre productos y servicios de GIRATOUR, así como promociones, campañas, programas de fidelización y contenido relacionado con la experiencia de viaje, siempre que el Titular haya autorizado su inclusión en estos canales.

6.2.3.5 Apoyar el cumplimiento de obligaciones legales y contractuales derivadas de la relación con el Responsable y con los Titulares, incluyendo gestiones contables, fiscales, administrativas y de control interno.

6.2.3.6 Atender y dar respuesta a peticiones, quejas o reclamos de los Titulares relacionados con el servicio prestado o el Tratamiento de sus datos.

Página 8 de 18

6.2.3.7 Realizar actividades de seguimiento de calidad, estudios estadísticos, análisis de datos y evaluación del nivel de satisfacción de los usuarios.

6.3 Tratamiento de Datos Personales de Proveedores

6.3.1 ¿Cuándo se recolectan estos datos Personales?

Cuando los proveedores proporcionan voluntariamente sus datos personales, por ejemplo, al diligenciar formularios de vinculación, encuestas de cumplimiento, registros en sistemas internos o plataformas habilitadas para la gestión de proveedores.
Cuando se recibe documentación o información personal durante procesos de selección, evaluación, contratación y ejecución de acuerdos comerciales, tales como hojas de vida, certificados, referencias, RUT, documentos de identidad, entre otros.
Cuando se establecen relaciones contractuales, y se requiere recolectar y almacenar datos personales para la gestión de órdenes de compra, pagos, cumplimiento de obligaciones tributarias, legales o contractuales.
Cuando aliados, subcontratistas o terceros autorizados comparten datos personales de sus representantes, empleados o colaboradores en el marco de una relación de prestación de servicios conjunta con GIRATUR.
Cuando proveedores utilizan los canales digitales, físicos o telefónicos de la GIRATUR para registrar, actualizar o gestionar su información, o como parte del cumplimiento de procesos administrativos, logísticos o financieros.

6.3.2 Para tal efecto GIRATUR S.A.S podrá recolectar los siguientes datos:

Datos Generales de Identificación de la persona: Nombres, apellido, tipo de identificación como son cedula ciudadanía, pasaporte, Rut, cedula de extranjería, número de identificación, fecha y lugar de expedición, genero.
Datos específicos de la identificación de la persona: Firma, nacionalidad, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento, edad.
Datos de ubicación relacionados con actividad comercial o profesional de las personas: dirección, teléfono, correo electrónico
Datos patrimoniales de la persona: bienes muebles e inmuebles, ingresos, egresos, inversiones.
Datos relacionados con la actividad económica de la persona: Comerciante, inversionista, rentista.
Datos financieros como número de cuenta ahorros, nombre entidad financiera
Información de activos, historial de pagos con otros proveedores.
Aportes al sistema integral de seguridad social: planilla de pago de seguridad social
Datos sensibles
Datos biométricos de la persona: Imágenes de documentos de identificación pasaportes, cedulas.

6.3.3 Finalidades de la recolección

Página 9 de 18

6.3.3.1 Selección y vinculación de proveedores: Gestionar la selección, contacto y contratación de proveedores, contratistas o aliados estratégicos necesarios para el desarrollo de las actividades de la Organización.

6.3.3.2 Ejecución y gestión contractual: Administrar y ejecutar los contratos y convenios suscritos, así como ejercer los derechos y cumplir con las obligaciones derivadas de las relaciones contractuales o comerciales establecidas o en proceso de establecer, incluyendo las de carácter contable, legal, tributario y regulatorio.

6.3.3.3 Seguimiento a compromisos contractuales: Monitorear y garantizar el cumplimiento adecuado de los compromisos adquiridos en contratos y convenios celebrados con proveedores, contratistas o aliados.

6.3.3.4 Cumplimiento normativo y de políticas internas: Verificar el cumplimiento de nuestras políticas internas y de las normativas aplicables durante los procesos de selección, vinculación, evaluación de desempeño y a lo largo de toda la vigencia de la relación contractual.

6.3.3.5 Consulta y tratamiento de información financiera y crediticia: Consultar, recolectar, almacenar, procesar, actualizar, intercambiar, reportar y conservar la información relacionada con el comportamiento comercial, financiero y crediticio de los titulares, ante operadores de información legalmente habilitados, incluso si se encuentran fuera del territorio nacional.

6.3.3.6 Participación en actividades institucionales: Suscribir alianzas estratégicas con terceros para el desarrollo de actividades de promoción, mercadeo, eventos y programas institucionales, cuando el proveedor o aliado haga parte de estas iniciativas.

6.3.3.7 Seguimiento al uso de canales de comunicación: Hacer seguimiento y control sobre el uso y acceso de los canales de comunicación establecidos en el marco de las relaciones contractuales.

6.3.3.8 Publicación para fines informativos o de transparencia: Publicar, cuando sea legal y necesario, la información de contacto del proveedor, contratista o aliado en canales oficiales, con fines informativos, de transparencia o verificación por terceros autorizados.

6.3.3.9 Acceso para fines de auditoría: Permitir el acceso a la información y datos personales a los auditores o terceros contratados para llevar a cabo procesos de auditoría interna o externa propios de la actividad comercial que desarrollamos.

6.3.3.10 Finalidades datos sensibles proveedores: Imágenes documentos de identificación, capturar, almacenar y consultar imágenes de documentos de identificación personal tales como cédulas de ciudadanía o pasaportes, con el fin de verificar la identidad del proveedor, validar su idoneidad jurídica y contractual, y dar cumplimiento a los requisitos legales, contables y de seguridad establecidos por GIRATUR para la formalización de relaciones comerciales.

6.4 Tratamiento de Datos Personales de Trabajadores

Página 10 de 18

6.4.1 ¿Cuándo se recolectan estos datos Personales?

Cuando los empleados proporcionan voluntariamente sus datos personales, ya sea al diligenciar formularios de hoja de vida, entregar documentos físicos o digitales, participar en procesos de selección o durante la ejecución de la relación laboral.
Cuando los empleados utilizan los canales corporativos de comunicación o gestión administrativa, como sistemas internos de recursos humanos, correo institucional, aplicaciones para gestión de nómina, bienestar, seguridad social, entre otros.
Cuando GIRATUR S.A.S. recopila información derivada del cumplimiento de obligaciones legales y contractuales, tales como reportes a entidades del sistema de seguridad social, administradoras de riesgos laborales (ARL), fondos de pensiones, cajas de compensación, entidades financieras, autoridades laborales o fiscales.
Cuando GIRATUR S.A.S. obtiene referencias personales, laborales o resultados de evaluaciones psicotécnicas o médicas, como parte del proceso de selección, ingreso, permanencia o retiro del empleado, siempre dentro del marco legal aplicable.
Cuando se recolecta información relacionada con el bienestar, salud, desempeño o desarrollo profesional del empleado, en el marco de programas institucionales de talento humano, bienestar laboral, salud ocupacional o seguridad y salud en el trabajo.

6.4.2 Para tal efecto GIRATUR S.A.S podrá recolectar los siguientes datos:

Datos Generales de Identificación de la persona: Nombres, apellido, tipo de identificación como son cedula ciudadanía, pasaporte, Rut, tarjeta de identidad (NUIP), Licencia de conducción, cedula de extranjería, Registro Civil. número de identificación, fecha y lugar de expedición, nombre, estado civil, genero, parentesco.
Datos específicos de la identificación de la persona: Firma, nacionalidad, datos de familiares, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento, edad.
Datos relacionados con el estado de salud de la persona que incluyen resultado de pruebas De laboratorio, estudios, diagnósticos, médicos, generales o especializados, psicológicos o psiquiátricos, pruebas psicotécnicas, medicamentos, y/o tratamientos médicos o terapéuticos de cualquier tipo.
Datos de ubicación personal relacionados con actividad privada de las personas: ciudad de residencia, dirección, barrio, teléfono, correo electrónico.
Datos relacionados con la historia laboral de la persona: Experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención.
Datos relacionados con el nivel educativo: Capacitación y/o historial académico de la persona.
Datos generales relacionados con afiliación y aportes al sistema integral de seguridad social: EPS, IPS, ARL, fechas ingreso/retiro EPS, AFP, Cajas de Compensación.
Datos de carácter económico de las personas: Datos financieros como número de cuenta ahorros, nombre entidad financiera, salario.
Datos de antecedentes judiciales y/o disciplinarios de las personas.
Datos personales de acceso a sistemas de información: usuarios, IP, claves, perfiles.
Datos sensibles: Datos sobre personas en situación de discapacidad, biométricos como geometría corporal, fotografía, videos, formula dactiloscópica, voz, datos relacionados con la

Página 11 de 18

pertenencia a sindicatos, datos sobre gustos e intereses particulares: deportivos, ocio, gastronómicos, turismo, moda.

6.4.3 Finalidades de la recolección

6.4.3.1 Dar cumplimiento de las obligaciones contraídas en los contratos laborales con los trabajadores titulares de la información, con relación a pago de salarios, prestaciones sociales, y demás consagradas en el contrato de trabajo y normatividad laboral vigente.

6.4.3.2 Informar a cada trabajador las novedades que se presenten en desarrollo del contrato de trabajo y hasta después de su finalización.

6.4.3.3 Realizar estudios sobre hábitos de cada trabajador para el desarrollo de programas o sistemas de gestión.

6.4.3.3. Realizar los descuentos de nómina autorizados por cada trabajador.

6.4.3.4 Gestionar sus solicitudes, administración de actividades, aclaraciones e investigaciones.

6.4.3.5 Realizar controles de entrada y salida de trabajadores de las instalaciones de la empresa

6.4.3.6 Realizar la transmisión o transferencia de datos a otras empresas, alianzas comerciales o terceros con el fin de cumplir las obligaciones legales y contractuales. La transmisión o transferencia podrá efectuarse incluso a terceros países, cuando sea necesario para el cumplimiento de las obligaciones de GIRATUR garantizando que la exportación de datos se realice con las medidas de seguridad adecuadas.

6.4.3.7 Trasladar bien a título de transmisión o de transferencia, la información recibida a todas las entidades judiciales o administrativas cuando ello sea necesario para el cumplimiento de los deberes como empleador para cumplir las obligaciones propias de orden laboral, seguridad social, pensiones, riesgos profesionales, cajas de compensación familiar (Sistema Integral de Seguridad Social) e impuestos.

6.4.3.8 Uso de imágenes y videos dentro del desarrollo de actividades de recreación y bienestar.

6.4.3.9 La grabación por cámaras ubicadas en las oficinas y cámaras de video vigilancia instaladas en la empresa bajo las siguientes finalidades legitimas: 1) Seguridad y prevención de delitos: Las cámaras de videovigilancia se pueden utilizar para garantizar la seguridad de los trabajadores, visitantes y clientes en las instalaciones de la organización. Esto incluye la prevención de robos, hurtos, vandalismos u otros delitos que puedan afectar la integridad de las personas o los bienes de la empresa. 2) Control de acceso y seguridad: El monitoreo de los trabajadores a través de cámaras de videovigilancia ayuda a garantizar el cumplimiento de los protocolos de seguridad, así como el control de acceso a áreas restringidas o sensibles por los documentos y demás objetos tanto personales como de la empresa que se encuentran dentro de las instalaciones. 3) Verificación del

Página 12 de 18

servicio al cliente: Las cámaras se pueden utilizar para monitorear la interacción entre el personal de la organización y los clientes con el fin de verificar la calidad del servicio que se presta. Esto puede incluir la evaluación de la atención al cliente a través del programa “cliente oculto”, la resolución de quejas o reclamaciones, y el cumplimiento de los estándares de servicio establecidos por la organización.

6.4.3.10 Efectuar consultas en distintas bases de datos y fuentes autorizadas (como listas OFAC, ONU, entre otras) necesarias para el control y prevención de fraudes o delitos relacionados con el lavado de activos, de acuerdo con nuestras políticas de prevención y gestión de riesgos.

6.4.3.11 Cualquier otra actividad de naturaleza similar a las anteriormente descritas que sean necesarias para desarrollar el objeto social de GIRATUR S.A.S y sus obligaciones laborales adquiridas en virtud de la celebración del contrato de trabajo o por ministerio de la ley.

6.4.3.12 Finalidades datos sensibles trabajadores: Validar la identidad del colaborador, cumplir con obligaciones legales y contractuales, y respaldar los procesos administrativos, laborales y de seguridad de GIRATUR S.A.S.

6.4.3.12.1 Datos sobre personas en situación de discapacidad. Cumplir con las disposiciones legales vigentes en materia laboral, adoptar ajustes razonables, garantizar la inclusión, y aplicar medidas adecuadas de seguridad y salud en el trabajo en beneficio del colaborador.

6.4.3.4.12.2 Datos biométricos. Registrar, almacenar y procesar datos biométricos como fotografías, videos, huellas dactilares o grabaciones de voz, para fines de identificación, control de acceso físico y lógico, seguridad interna, así como para documentar actividades institucionales y las relacionadas con su labor dentro del organización GIRATUR S.A.S. mediante canales oficiales. Asimismo, podrán recolectarse datos de geometría corporal con el fin de realizar la toma de tallas necesarias para el suministro de dotaciones, tales como uniformes u otros elementos requeridos para el desarrollo de las funciones laborales.

6.4.3.4.12.3 Pertenencia a sindicatos u organizaciones similares. Conocer y conservar información relativa a la afiliación sindical del empleado, cuando sea voluntariamente suministrada, con el fin de dar cumplimiento a derechos laborales.

6.4.3.4.12.4 Gustos e intereses personales. Diseñar e implementar programas de bienestar, actividades de integración, incentivos, campañas internas o beneficios personalizados orientados a fortalecer el clima organizacional.

6.4.3.13 Datos de menores de edad. Tratar datos personales y sensibles de menores de edad relacionados con hijos, dependientes o beneficiarios de empleados, exclusivamente para gestionar beneficios laborales, afiliar a programas de bienestar familiar, salud o educación, y dar cumplimiento a las normativas legales y políticas de recursos humanos.

Página 13 de 18

7. Autorización

7.1 GIRATUR Agencia de Viajes y Turismo (Responsable): Cuando la ley lo exija, GIRATUR solicitará autorización previa, expresa e informada para el tratamiento de los datos personales. El titular podrá revocar la autorización y/o solicitar supresión cuando sea procedente.
GIRATUR podrá implementar mecanismos de comunicación conforme al Decreto 1377 de 2013 para mantener el tratamiento de bases de datos constituidas antes de la implementación/actualización de esta política.

7.1.1 Modo de obtención de la Autorización

GIRATUR informará al titular sobre las finalidades del tratamiento de sus datos personales y obtendrá su consentimiento previo, expreso e informado.
GIRATUR obtendrá la autorización del titular de manera previa al inicio del tratamiento de sus datos personales, y en todo caso, como máximo en el momento de su recolección inicial. Dicha autorización podrá otorgarse por escrito, verbalmente, mediante conductas inequívocas o a través de cualquier medio que garantice su conservación y posibilidad de consulta posterior. Esta exigencia se exceptúa únicamente en los casos previstos por la ley, en los que no se requiere dicha autorización para el tratamiento.

7.2. GIRATUR Agencia de Viajes Mayorista (Encargado): Cuando los datos personales sean suministrados por algunas de las Agencia cliente, un aliado, proveedor o contratista, GIRATUR verificará que el tercero cuente con la autorización del titular que le permita compartir la información con GIRATUR, o que dicha transferencia se encuentre amparada en una base legal que lo faculte para ello.

7.2.1 Modo de obtención de la Autorización

Como condición para la ejecución del contrato o servicio acordado con el tercero, este último deberá suscribir la Certificación de Autorizaciones de Titulares, y actualizarla conforme se agreguen nuevos datos personales.
Así mismo, las partes suscribirán el “Acuerdo de Responsables y Encargado del Tratamiento de Datos Personales” como anexo obligatorio e integrante de la relación contractual/comercial que hayan establecido.
La omisión o falsedad en la certificación de autorizaciones será causal de incumplimiento contractual y GIRATUR se reserva el derecho de suspender temporalmente el tratamiento de los datos afectados.

7.3 GIRATUR Empleador (Responsable): Cuando la ley lo exija, GIRATUR solicitará autorización previa, expresa e informada para el tratamiento de los datos personales de los trabajadores o personas en procesos de selección. El titular podrá revocar la autorización y/o solicitar supresión cuando sea procedente.

Página 14 de 18

7.3.1 Modo de obtención de la Autorización

GIRATUR informará al titular sobre las finalidades del tratamiento de sus datos personales y obtendrá su consentimiento previo, expreso e informado.
GIRATUR obtendrá la autorización del titular de manera previa al inicio del proceso de contratación y posteriormente en la contratación, y en todo caso, como máximo en el momento de su recolección inicial. Dicha autorización podrá otorgarse por escrito, verbalmente, mediante conductas inequívocas o a través de cualquier medio que garantice su conservación y posibilidad de consulta posterior. Esta exigencia se exceptúa únicamente en los casos previstos por la ley, en los que no se requiere dicha autorización para el tratamiento

8. Circulación de la información: Transferencia y transmisión de datos

GIRATUR podrá compartir información con aliados, proveedores de servicios tecnológicos, agencias de publicidad, entidades gubernamentales u otras personas, siempre que medie el cumplimiento de la legislación vigente y se garantice la protección de los datos compartidos.
Transmitir o transferir la información necesaria a operadores aliados, aerolíneas, hoteles, empresas de transporte, aseguradoras, operadores turísticos u otros terceros involucrados en la prestación de los servicios contratados y obligaciones adquiridas, con el único propósito de facilitar la correcta ejecución del encargo encomendado por el Responsable incluyendo la gestión de reservas, la compra de servicios complementarios (como equipaje adicional o selección de asientos) y demás actividades relacionadas, así como tramitar encargos, solicitudes, reclamos o cualquier tipo de petición o consulta realizada por el titular a través de cualquiera de los canales de contacto disponibles.
La transmisión y transferencia podrá efectuarse incluso a terceros países que pueden tener un nivel de protección diferente respecto del colombiano, cuando sea necesario para el cumplimiento de nuestras obligaciones únicamente para la prestación del servicio contratado. GIRATUR podrá transmitir datos personales a encargados, en Colombia o en el exterior, para cumplir las finalidades establecidas en la Política de Tratamiento. Esto incluye el uso de plataformas y servicios de nubes de almacenamiento, garantizando siempre medidas contractuales, técnicas y organizacionales que protejan la información conforme a la ley.
Transferencias: La transferencia de los datos con terceros proveedores ubicados dentro y fuera del territorio nacional, se realizará con el único fin de dar trámite al servicio turístico que usted ha contratado, y se procederá según su autorización a dar tratamiento, actualizar y disponer de los datos que han sido suministrados y que se han incorporado en distintas bases de datos, o en repositorios electrónicos con que cuenta GIRATUR. El tratamiento podrá realizarlo GIRATUR directamente o por intermedio de sus contratistas, consultores, asesores, para que lleven a cabo cualquier operación o conjunto de operaciones tales como la recolección, almacenamiento, uso, circulación, supresión, clasificación, transferencia y transmisión (el “Tratamiento”) sobre la totalidad o parte de sus datos personales.

Página 15 de 18

9. Derechos de los titulares

GIRATUR, reconoce y garantiza el derecho que tienen todas las personas a ejercer control sobre el tratamiento de sus datos personales. En este sentido, el titular podrá ejercer en cualquier momento, de manera gratuita y a través de los canales dispuestos para ello, los siguientes derechos:

Solicitar la actualización de su información personal cuando esta resulte incompleta, desactualizada, inexacta o fragmentada.
Solicitar la rectificación o corrección de sus datos cuando detecte errores, inconsistencias o datos que puedan inducir a interpretaciones equivocadas.
Solicitar la supresión de sus datos personales de nuestras bases de datos cuando considere que no se requiere el tratamiento para las finalidades autorizadas, o cuando haya finalizado la relación que dio origen a dicho tratamiento. Esta solicitud será atendida en la medida en que no exista una obligación legal o contractual que justifique su conservación.
Revocar la autorización otorgada para el tratamiento de sus datos, salvo que ello implique el incumplimiento de obligaciones legales o contractuales por parte de GIRATUR.
Consultar de manera clara y gratuita los datos personales que reposan en las bases de datos de GIRATUR, así como el uso que se les ha dado.
Presentar reclamos cuando considere que la información está siendo tratada de forma inadecuada o contraria a lo dispuesto en esta política.
GIRATUR garantiza que todos los derechos aquí descritos serán atendidos de forma oportuna, transparente y sin restricciones indebidas, de conformidad con los principios de legalidad, finalidad, libertad, veracidad, seguridad, acceso y circulación restringida.

9.1 Procedimiento para consultas y reclamos (Habeas Data)

9.1.1 Consultas: El titular de los datos personales podrá ejercer su derecho a conocer la información que sobre él se encuentra registrada en las bases de datos administradas por GIRATUR. Para ello, podrá presentar una solicitud formal de consulta, la cual será atendida en un plazo máximo de diez
(10) días hábiles contados a partir de la fecha de su recepción.

9.1.2 Reclamos: Cuando un titular considere que la información contenida en una base de datos debe ser corregida, actualizada, suprimida o que está siendo tratada de forma indebida, podrá presentar un reclamo ante GIRATUR, el cual será gestionado bajo el siguiente procedimiento:

El reclamo se formulará mediante solicitud dirigida a GIRATUR con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, GIRATUR requerirá al interesado para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado y se señalará la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Página 16 de 18

En todo caso, el titular o el causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante la agencia GIRATUR.
La solicitud de supresión de la información y la revocatoria de la autorización no procederá cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

9.1.3 Documentos e información que debe allegarse junto con la Consulta y/o Reclamo. La solicitud deberá estar acompañada de los siguientes documentos, según corresponda:

Titular de la información: Copia del documento de identidad vigente
Causahabiente: Copia del documento de identidad, documento que acredite la calidad en la que actúa, registro civil o acta de defunción del titular y número de identificación de este.
Representante legal o apoderado: Copia del documento de identidad, poder o documento que acredite la representación, junto con el número de identificación del titular de la información.

9.2 Canales habilitados para el ejercicio de los Derechos de Habeas Data

Para ejercer estos derechos, puede contactarse con GIRATUR en los siguientes canales:

Correo Electrónico: info@giraturtravel.com,
Dirección: Transversal 19A # 98-12, Ofc. 401, Bogotá D.C., Colombia
Teléfono: +57 (601) 755-9999 / +57 310 808 6624
Página web: www.giraturtravel.com

10. Deberes de la GIRATUR

Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el titular.
Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
Informar a solicitud del titular sobre el uso dado a sus datos.
Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
Cumplir las instrucciones y requerimientos que imparta la superintendencia de industria y comercio.

11. Seguridad y confidencialidad

GIRATUR implementa medidas técnicas, humanas y administrativas razonables para proteger los datos personales frente a accesos no autorizados, pérdida, alteración o divulgación indebida, acorde con la naturaleza del dato y los riesgos asociados.
La organización cuenta con políticas y procedimientos destinados a garantizar la confidencialidad, integridad y disponibilidad de la información, sin importar su formato, medio de transmisión o ubicación.

Página 17 de 18

Todo tercero que tenga acceso a datos personales debe suscribir acuerdos de confidencialidad que definan sus obligaciones respecto al manejo responsable de dicha información.
Además, se llevan a cabo programas permanentes de capacitación dirigidos al personal autorizado, con el fin de fortalecer sus competencias en materia de protección de datos y fomentar una cultura organizacional basada en la responsabilidad y el cumplimiento normativo.

12. Vigencia, conservación y modificaciones

Esta política entra en vigor a partir de su publicación y será revisada anualmente o cuando ocurran cambios significativos en la legislación o en los procesos de la empresa. Las modificaciones serán comunicadas oportunamente en nuestra página web y se actualizará en nuestro sitio web.
Fecha de entrada en vigor: de diciembre de 2026.

Las bases de datos tendrán vigencia indefinida, de conformidad con las finalidades y usos de la información.
GIRATUR reafirma su compromiso con el cumplimiento de la legislación colombiana y la protección de la privacidad de los titulares de datos personales.
Las bases de datos administradas por GIRATUR han sido registradas ante el Registro Nacional de Bases de Datos (RNBD), conforme a lo establecido por la Superintendencia de Industria y Comercio.

13. Notificación de cambios en la política

Cualquier cambio sustancial en la presente política será comunicado a los titulares a través del sitio web www.giratur.com mediante notificación electrónica o por los canales habituales de contacto. Dichas modificaciones entrarán en vigor a partir de su publicación.

Página 18 de 18