INTRODUCCION Atendiendo lo dispuesto en el en el artículo 15 y 20 de la Constitución Política de Colombia, que consagra la protección a la intimidad personal y el buen nombre, además del derecho que le asiste a las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos y archivos de entidades tanto públicas como privadas, ESTRATEGIA CARDINAL S.A.S (en adelante ESTRATEGIA CARDINAL) adopta la siguiente política para el tratamiento de las bases de datos que maneja en el desarrollo de su actividad. De conformidad con el principio constitucional, se promulgo la Ley 1581 de 2012 mediante la cual se dictaron disposiciones generales para la protección de los datos personales y que fue posteriormente reglamentada por el Decreto 1074 de 2015. Dichas disposiciones regulan las obligaciones que asisten a los responsables y encargados del tratamiento de datos personales, dentro de los cuales se dispone el deber de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial el procedimiento para la atención de consultas y reclamos de los datos recolectados, así como el manejo y tratamiento de los datos de carácter personal que obtiene ESTRATEGIA CARDINAL derivado de su gestión. CAPÍTULO I DISPOSICIONES GENERALES ARTÍCULO 1. LEGISLACIÓN APLICABLE. El presente manual ha sido elaborado con base en las disposiciones contenidas en la Constitución Política de Colombia (Artículo 15 y 20); en concordancia con los principios generales establecidos en la Ley 1581 de 2012 - por la cual se dictaron disposiciones generales para la protección de datos personales- y en la Ley 1266 de 2008 – mediante la cual se dictaron las disposiciones generales del hábeas data y se reguló el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países- normatividad que se encuentra desarrollada y complementada con el Decreto 1727 de 2009, el Decreto 2952 de 2010, el Decreto 1377 de 2013 y el Decreto 1074 de 2015 y demás normas concordantes y complementarias. ARTÍCULO 2. BASES DE DATOS. En el desarrollo de su actividad financiera y comercial, ESTRATEGIA CARDINAL recolecta, procesa y almacena las bases de datos que se enunciarán a continuación. Algunas de ellas serán objeto del registro correspondiente en el Registro Nacional de Bases de Datos (RNBD) ante la Superintendencia de Industria y Comercio, conforme a lo establecido en la Ley 1581 de 2012; las demás no están sujetas a la obligación de registro, por disposición expresa de esta norma y de la Ley 1266 de 2008. Son bases de datos sometidas a RNBD, las referidas a: Accionistas Empleados Proveedores Clientes Acreedores ARTÍCULO 3. DEFINICIONES. Para efectos de la aplicación de las reglas contenidas en el presente manual y de acuerdo con lo establecido en el artículo 3 de la Ley 1581 de 2012 se tendrán las definiciones allí consignadas para el legislador y que a continuación se transcriben: Autorización: Es el consentimiento previo, expreso e informado que da cualquier persona para que ESTRATEGIA CARDINAL, pueda utilizar sus datos personales. Aviso de privacidad: se trata del documento físico, electrónico o en cualquier otro formato, generado por ESTRATEGIA CARDINAL que ha sido puesto a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas, el objetivo de su recolección y uso que se pretende dar a los datos personales. Base de Datos: Consisten en un conjunto organizado de datos personales que sean objeto de Tratamiento, e incluye archivos físicos y electrónicos. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Dato público: Dato personal calificado como público por la ley o la Constitución Política. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutorias que no estén sometidas a reserva. Dato semiprivado: Son los datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo al titular sino a cierto sector o a la sociedad en general. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. Dato sensible: Son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la finalidad de la base de datos y/o el Tratamiento de estos. Titular: Es la persona natural cuyos datos personales sean objeto de Tratamiento. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales que realice ESTRATEGIA CARDINAL tales como la recolección, almacenamiento, uso, circulación o supresión de estos. Transferencia: Consiste en el envío de los datos personales a un receptor que, a su vez, es responsable del Tratamiento en los términos de la Ley 1581 de 2012 y se encuentra dentro o fuera del país. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro y fuera del territorio colombiano cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. ARTICULO 4. RESPONSABLE. Todos los empleados de ESTRATEGIA CARDINAL son responsables del tratamiento de las bases de datos que la compañía recolecta, almacena, procesa, utiliza, rectifica, circula, actualiza, comparte y elimina en el desarrollo de su objeto social. No obstante, lo anterior, la Gerencia Administrativa y Financiera de la compañía es la encargada de la administración y control de la base de datos a su cargo. ARTÍCULO 5. FINALIDAD. ESTRATEGIA CARDINAL en su calidad de responsable del tratamiento, recolección, almacenamiento, actualización, uso, circulación, transferencia, transmisión y supresión de las bases de datos, realiza las siguientes actividades: Da cumplimiento a las obligaciones y ejerce los derechos de la compañía, con relación a la información contenida en sus bases de datos. Define relaciones contractuales y comerciales con clientes, proveedores, empleados, acreedores y demás personas que con las que tiene vínculo y de quienes obtiene datos personales. Ejecuta correctamente los diversos contratos de los que es parte referidos a productos y servicios financieros, relaciones laborales y vínculos civiles o comerciales. Presta, según la normatividad vigente, los servicios financieros de acuerdo con las necesidades de los clientes, asegurando una correcta gestión de los productos y servicios ofrecidos. Responde consultas acerca de productos o servicios financieros ofrecidos y/o prestados por la compañía y por terceros con los que tiene vínculo comercial. CAPÍTULO II AUTORIZACIÓN ARTÍCULO 6. AUTORIZACIÓN. La recolección almacenamiento, uso, circulación o supresión de datos personales por parte de ESTRATEGIA CARDINAL requiere del consentimiento libre, previo, expreso e informado del titular de estos. ESTRATEGIA CARDINAL en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización. ARTÍCULO 7. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN. La autorización puede constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta. La autorización será emitida por ESTRATEGIA CARDINAL y será puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2012. Con el procedimiento de autorización consentida se garantiza que se ha puesto en conocimiento del titular de los datos personales, tanto el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de conocer cualquier alternación a los mismos y el uso específico que de ellos se ha dado. Lo anterior con el fin de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal. La autorización es una declaración que informa al titular de los datos personales: Quién recopila (responsable o encargado). Qué recopila (datos que se recaban). Para qué recoge los datos (las finalidades del tratamiento). Cómo ejercer derechos de acceso, corrección, actualización o supresión de los datos personales suministrados. Si se recopilan datos sensibles. ARTÍCULO 8. PRUEBA DE LA AUTORIZACIÓN. ESTRATEGIA CARDINAL adoptará las medidas necesarias para mantener registros de cuándo y cómo obtuvieron autorización por parte de los titulares de datos personales para el tratamiento de estos. ARTÍCULO 9. AVISO DE PRIVACIDAD: El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato, que es puesto a disposición del Titular para el tratamiento de sus datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. ARTÍCULO 10. CONTENIDO MÍNIMO DEL AVISO DE PRIVACIDAD. El Aviso de Privacidad, como mínimo, deberá contener la siguiente información: La identidad, domicilio y datos de contacto del Responsable del Tratamiento; El tipo de tratamiento al cual serán sometidos los datos y la finalidad de este, y Los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información. ARTÍCULO 11. AVISO DE PRIVACIDAD Y LAS POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN. ESTRATEGIA CARDINAL conservará el modelo del aviso de privacidad que se transmitió a los Titulares mientras se lleve a cabo tratamiento de datos personales y perduren las obligaciones que de éste deriven. Para el almacenamiento del modelo ESTRATEGIA CARDINAL podrá emplear medios informáticos, electrónicos o cualquier otra tecnología. CAPITULO III DERECHOS Y DEBERES ARTÍCULO 12. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN. De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos: Conocer, actualizar y rectificar sus datos personales. Estos derechos los podrán ejercer, entre otros, frente a Datos personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, a aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. Solicitar prueba de la autorización otorgada a ESTRATEGIA CARDINAL, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con los previsto en el artículo 10 de la Ley 1581 de 2012. Ser informado por ESTRATEGIA CARDINAL, previa solicitud, respecto del uso que se ha dado a sus Datos Personales. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de consulta o reclamo ante ESTRATEGIA CARDINAL. Mediante reclamo presentado conforme al Art. 15 de la Ley 1581 de 2012, puede solicitar la revocatoria de la autorización y/o solicitar la supresión del Dato Personal cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la Ley 1581 de 2012 y a la Constitución. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. ARTÍCULO 13. DEBERES DE ESTRATEGIA CARDINAL EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES. ESTRATEGIA CARDINAL tendrá presente, en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso la Ley 1581 de 2012 sobre protección de datos personales. De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, ESTRATEGIA CARDINAL se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con en el tratamiento de datos personales: Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. Solicitar y conservar, en las condiciones de seguridad necesarias, copia de la respectiva autorización otorgada por el Titular para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. Realizar oportunamente, esto es en los términos previstos en los artículos 14 y 15 de la Ley 1581 de 2012, la actualización, rectificación o supresión de los datos. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en el artículo 14 de la Ley 1581 de 2012. Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad o detalles del dato personal. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. CAPÍTULO IV PROCEDIMIENTOS DE ACCESO, CONSULTA Y RECLAMACIÓN ARTÍCULO 14. DERECHO DE ACCESO: El poder de disposición o decisión que tiene el titular sobre la información que le concierne, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento. De esta manera, ESTRATEGIA CARDINAL debe garantizar al titular su derecho de acceso en tres vías: La primera implica que el titular pueda conocer la efectiva existencia del tratamiento a que son sometidos sus datos personales. La segunda, que el titular pueda tener acceso a sus datos personales.

Versión 1.0 – Mayo de 2025 Estrategia Cardinal SAS, identificada con NIT 901.289.385-1, domiciliada en Bogotá D.C., en su calidad de responsable del tratamiento de datos personales, informa a los usuarios de la plataforma Cronecta que el uso de la aplicación implica el conocimiento y aceptación de esta Política de Privacidad y Tratamiento de Datos Personales. 1. Finalidad de la Recolección de Datos A través de Cronecta se recolecta información personal de los usuarios con las siguientes finalidades: • Permitir el acceso y uso de la aplicación para conectar compradores y proveedores. • Gestionar la relación contractual o comercial con los usuarios. • Ofrecer servicios de soporte técnico, atención al usuario y comunicaciones relacionadas con la plataforma. • Compartir datos con aliados comerciales y estratégicos para facilitar el proceso de compras B2B. • Enviar comunicaciones sobre actualizaciones, eventos o servicios, previa autorización expresa del usuario. • Cumplir con obligaciones legales, contables y contractuales. 2. Recolección de Información Técnica y Uso de Cookies Cronecta utiliza cookies para mejorar la experiencia del usuario, recordar preferencias y realizar análisis básicos de navegación. Estas cookies no recolectan información personal sensible. En el futuro, Cronecta podrá recolectar datos no personales o técnicos, tales como tipo de navegador, sistema operativo, ubicación aproximada, duración de sesiones o páginas visitadas, con el fin de mejorar la prestación del servicio. Cualquier ampliación en el alcance de estas herramientas será actualizada en esta política. 3. Almacenamiento y Seguridad de la Información La información recopilada es almacenada en servidores contratados a terceros, los cuales cumplen con estándares adecuados de seguridad. Estrategia Cardinal SAS implementa medidas técnicas, legales y administrativas para proteger la información frente a acceso no autorizado, pérdida o alteración. 4. Compartición de Información Cronecta podrá compartir datos personales con: • Aliados comerciales y estratégicos, con el objetivo de facilitar oportunidades de compra y provisión entre usuarios de la plataforma. • Proveedores de servicios tecnológicos, exclusivamente para el funcionamiento de la app, bajo acuerdos de confidencialidad y protección de datos. En ningún caso se venderá la información personal de los usuarios. 5. Derechos de los Titulares De conformidad con la Ley 1581 de 2012, los usuarios tienen derecho a: • Conocer, actualizar y rectificar sus datos personales. • Solicitar prueba de la autorización otorgada. • Ser informados sobre el uso dado a sus datos. • Revocar la autorización y/o solicitar la supresión de datos, siempre que no exista un deber legal o contractual que lo impida. • Presentar quejas ante la Superintendencia de Industria y Comercio. 6. Procedimientos para el Ejercicio de Derechos Los titulares pueden ejercer sus derechos enviando una solicitud al correo electrónico: corporativo@estrategiacardinal.com. La solicitud debe incluir: • Nombre completo del titular. • Descripción clara de la petición. • Datos de contacto. • Documentos que sustenten la solicitud (si aplica). 7. Menores de Edad Cronecta no está dirigida a menores de edad ni recolecta datos de estos, por lo tanto, esta política no aplica a menores de edad. 8. Modificaciones y Vigencia Estrategia Cardinal SAS podrá modificar esta política en cualquier momento. Toda modificación será informada mediante los canales oficiales de Cronecta y estará disponible en la app. Fecha de entrada en vigencia: 07 de mayo de 2025.