REDEBAN S.A. (en adelante "LA EMPRESA") y las sociedades afiliadas a LA EMPRESA por vínculos de subordinación o control en Colombia o en el extranjero (en adelante las "Sociedades Vinculadas"),  en su condición de RESPONSABLES del Tratamiento de la información recolectada de sus clientes y  usuarios, y de cualquier otro tercero (en adelante los "Titulares"), sea que se trate de Datos Personales o Datos Personales Crediticios (en adelante la "Información Protegida”),  en el marco de la prestación de los servicios ciudadanos digitales básicos y especiales servicios del módulo antifraude e identidad digital  ,  desarrollar actividades conexas a la prestación de esos servicios en entidades públicas y privadas, así como desarrollar y aplicar innovaciones y tecnologías relacionadas y realizar cualquier operación propia para la ejecución de dichas actividades, ha adoptado la presente política.

1.     CONSIDERACIONES

1.1.          Con ocasión del ejercicio de la actividad de la empresa, derivado de la prestación de los servicios del módulo antifraude  e identidad digital,  resulta indispensable entre otros, recolectar, almacenar, usar, transferir, transmitir, entregar a terceros dentro y fuera del territorio de Colombia y, demás personas vinculadas o relacionadas con el objeto social y misional de LA EMPRESA y los efectos contractuales en los que se vea involucrado, los Datos Personales e información de propiedad de los Titulares de la información personal, la cual se define como aquella información que identifica a la persona natural que posee vínculos de carácter legal o contractual con LA EMPRESA,

1.2.          En virtud de lo anterior, dentro del compromiso legal y corporativo de LA EMPRESA de proteger el derecho a la privacidad de las personas, así como la facultad de ellas de conocer, actualizar o solicitar la información que sobre ellas se archive en bases de datos, LA EMPRESA ha diseñado esta Política de Protección de Datos Personales para los  servicios del módulo antifraude e identidad digital (la “Política”) en la que se describe y explica el Tratamiento dado a la información personal que se recolecta a través de los diferentes medios físicos o electrónicos, actuales o que en el futuro se desarrollen en el ejercicio de la actividad de LA EMPRESA.

2.     MARCO NORMATIVO  

El marco legal y constitucional (en adelante el "Marco Normativo") bajo el cual se rigen las políticas para el tratamiento de información de REDEBAN S.A. (en adelante las "Políticas"), es el siguiente:

• Constitución Política de Colombia, Artículo 15.
• Ley 1581 de 2012.
• Decretos Reglamentarios 1727 de 2009, 2952 de 2010 y 1377 de 2013, compilados por el Decreto Único Reglamentario 1074 de 2015.
• Sentencias de la Corte Constitucional: C-1011 de 2008 y C-748 del 2011.
• Todas aquellas normas que modifiquen o adicionen las leyes y decretos aquí listados.

 3.      DEFINICIONES 

Para los efectos del presente documento se tendrán como definiciones de los términos utilizados, aquellas definiciones incluidas en el Marco Normativo, en especial las leyes 1266 de 2008 y 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, de las cuales se incluyen las utilizadas expresamente en estas Políticas, de la siguiente forma:

Aliados: entidades privadas y/o públicas con las cuales LA EMPRESA ha suscrito acuerdos comerciales para la prestación de servicios comerciales de dichas entidades, a través de la Aplicación o el SDK web de LA EMPRESA.

Algoritmos: Serie de instrucciones secuenciales es decir que van uno después del otro que permiten ejecutar acciones o programas.

Aplicación o App: cualquier tipo de software, o desarrollo de software  que podrá ser o no  de propiedad de LA EMPRESA para que corra en cualquier elemento informático de hardware, tal como un desktop, laptop o dispositivos móviles.

Autoridad Nacional de Protección de Datos Personales: es la Superintendencia de Industria y Comercio- Delegatura para la Protección de Datos Personales.

Autorización: consentimiento previo, expreso e informado del Usuario y/o Titular del dato para llevar a cabo el Tratamiento. Esta puede ser escrita, verbal o mediante conductas inequívocas que permitan concluir de forma razonable que el Titular otorgó Autorización.

Aviso de privacidad: comunicación verbal o escrita generada por LA EMPRESA dirigida al Usuario y/o Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

Bases de datos: conjunto organizado de Datos Personales que sea objeto de Tratamiento.

Cadencia: Sucesión regular de los sonidos o los movimientos que se va repitiendo en un período de tiempo determinado.

Canal de acceso electrónico: se entenderá como canal de acceso electrónico aquellas formas mediante las cuales se recolecta y/o almacena información personal tales como, web, dispositivos móviles y atención telefónica.

Computación en la nube: es el uso de una red de servidores remotos conectados a internet para almacenar, administrar y procesar datos, servidores, bases de datos, redes y software.

Consulta: solicitud del Titular del dato o las personas autorizadas por este o por la ley para conocer la información que reposa sobre ella en bases de datos o archivos.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Para efectos de estas Políticas, cuando se haga referencia al término "Datos Personales", se entenderá exclusivamente realizada a los datos personales definidos en la Ley 1581 de 2012, con el alcance otorgada por esta.

Datos de menores adultos: son los datos de adolescentes, es decir, los datos personales de los menores comprendidos entre los 12 y 18 años. Dichos datos, al margen de su naturaleza, pueden ser objeto de tratamiento siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los menores y se asegure sin excepción alguna el respeto de sus derechos prevalentes

Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.

Dato personal público: es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, registros públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva, los relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Son públicos los Datos Personales existentes en el registro mercantil de las Cámaras de Comercio (artículo 26 del C.Co.). Asimismo, son datos públicos, los que, en virtud de una decisión del Titular o de un mandato legal, se encuentren   en   archivos   de   libre   acceso   y   consulta. Estos datos pueden ser obtenidos y ofrecidos sin reserva alguna y sin importar si hacen   alusión   a   información   general, privada   o   personal.

Dirección IP: las direcciones IP (del acrónimo inglés IP para Internet Protocol) son un número único e irrepetible con el cual se identifica a todo sistema conectado a una red. 

DNS ISP: el término DNS, del inglés Domain Name Service, se refiere tanto al servicio de Nombres de Dominio, como al servidor que ofrece dicho servicio. El servicio DNS asocia un nombre de dominio con información variada relacionada con ese dominio. Su función más importante es traducir nombres inteligibles para las personas en direcciones IP asociados con los sistemas conectados a la red con el propósito de poder localizar y direccionar estos sistemas de una forma mucho más simple. 

Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la Ley 1266 de 2008. 

Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.

Entidades: entidades públicas o privadas interconectadas en el marco de los servicios ciudadanos digitales, con las cuales los Usuarios pueden realizar trámites y/o interacciones a través de la Aplicación y/o SDK web de LA EMPRESA. 

Geolocalización: es la capacidad de rastrear el paradero de un dispositivo utilizando GPS, torres de teléfonos celulares, puntos de acceso WiFi o una combinación de estos

ISP: (Internet Service Provider) es la compañía que te sirve el internet y, por lo tanto, sin un ISP no podrías tener acceso a este preciado servicio. 

Metadata: los metadatos son el conjunto de datos relacionados con un documento y que recogen información fundamentalmente descriptiva del mismo, así como información de administración y gestión. Los metadatos es una información que enriquece el documento al que está asociado, los cuales Describen la conceptualización, calidad, generación, cálculo y características de un conjunto de datos estadísticos. 

OTPs: es un password o contraseña de un único uso (sus siglas en inglés: One- Time Password), también conocida como password o contraseña dinámica. Se utiliza como segundo factor de autenticación, además del nombre de usuario y la contraseña comúnmente utilizados.

 Programa de Protección de Datos Personales: conjunto de procesos, políticas, procedimientos, controles y demás actividades definidas al interior de LA EMPRESA establecidas para asegurar el adecuado cumplimiento del Régimen de Protección de Datos, en adelante PDP.

Reclamo: solicitud del Usuario y/o Titular del dato o las personas autorizadas por este o por la ley para corregir, actualizar o suprimir sus Datos Personales o cuando adviertan que existe un presunto incumplimiento del régimen de Protección de datos, según  el  artículo  Art.   15 de   la  Ley  1581  de  2012.

Requisito de procedibilidad: el Titular o causahabiente sólo podrá́ elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento, lo anterior según el artículo 16 de la Ley 1581 de 2012.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.

SDK web: Software Developmet Kit, por sus siglas en inglés. Kit de desarrollo web, incluyendo las APIs que lo acompañan. Seguridad de la Información: es el conjunto de medidas preventivas y reactivas de LA EMPRESA que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. 

Titular del dato: es la persona natural y/o el Usuario a quien se refiere la información.

Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales (Ley 1581 de 2012), tales como la recolección, almacenamiento, uso, circulación o supresión. Para efectos de estas Políticas se entenderá que el Tratamiento abarca también la recolección, captura, almacenamiento, uso, circulación, transmisión, transferencia o supresión de Información. 

Transferencia: La transferencia de datos tiene lugar cuando el Responsable del Tratamiento y/o el Encargado del Tratamiento de Datos Personales, ubicado en la República de Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera de la República de Colombia.

Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado del Tratamiento por cuenta del Responsable del Tratamiento.

Confiabilidad de correo, teléfono móvil y del dispositivo: corresponde a la información que se puede obtener de un dispositivo y su conexión a la red, mientras interactúa en una sesión con la plataforma, permitiendo crear un perfil del dispositivo. Adicional a la validación del dispositivo revisamos la relación de la persona con el correo y el celular con el fin de evaluar el riesgo de aquellos atributos asociados al correo y móvil.

Usuario: persona natural, con capacidad jurídica, que hace uso de la Aplicación y/o SDK web en cumplimiento de los términos y condiciones aplicables.

Los demás términos definidos en el presente documento tendrán el significado que aquí se les asigna.

 

4.     PRINCIPIOS ORIENTADORES DE LAS POLÍTICAS

LA EMPRESA aplica y garantiza en las actividades de tratamiento de la información los siguientes principios:

1. Principio de Legalidad: En el Tratamiento de la Información Protegida, se dará aplicación a las disposiciones vigentes y aplicables, que rigen el Tratamiento de la misma y demás derechos fundamentales conexos, incluyendo las disposiciones contractuales pactadas por LA EMPRESA con los Titulares, según corresponda.
2. Principio de Libertad: El Tratamiento de Datos Personales y Datos Personales Crediticios, sólo se llevará a cabo con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales y Datos Personales Crediticios, que no tengan el carácter de Datos Públicos, no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.
3. Principio de Finalidad: El Tratamiento de la Información Protegida que no tengan el carácter de Datos Públicos, a los que tenga acceso y sean acopiados y recogidos por LA EMPRESA, estarán subordinados y atenderán una finalidad legítima, la cual será informada al respectivo Titular de la Información Protegida.
4. Principio de Veracidad o Calidad: La Información Protegida sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. LA EMPRESA no será responsable frente al Titular cuando sean objeto de Tratamiento, datos o información parcial, incompleta o fraccionada o que induzca a error, entregada por el Titular sin que existiera la forma de ser verificada la veracidad o calidad de la misma por parte de LA EMPRESA o la misma hubiere sido entregada o divulgada por el Titular declarando o garantizando, de cualquier forma, su veracidad o calidad.
5. Principio de Transparencia: En el Tratamiento de Información Protegida, se garantizará el derecho del Titular a obtener de LA EMPRESA, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de Información Protegida que sea de su interés (legal, judicial o contractualmente justificado) o titularidad.
6. Principio de Acceso y Circulación Restringida: La Información Protegida no estará disponible en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a LA EMPRESA, las Sociedades Vinculadas, los Titulares o terceros debidamente autorizados. Para estos propósitos la obligación de LA EMPRESA será de medio, según lo establece la normatividad vigente.
7. Principio de Seguridad: La Información Protegida bajo las Políticas sujeta a Tratamiento por LA EMPRESA, será objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado.
8. Principio de Confidencialidad: Todas y cada una de las personas que en LA EMPRESA administran, manejen, actualicen o tengan acceso a Información Protegida que no tenga el carácter de pública, y se encuentre en Sistemas de Información o bases o bancos de datos de terceros debidamente autorizados, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros todas o cualesquiera de las informaciones personales, comerciales, contables, técnicas, comerciales o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones. LA EMPRESA y sus Sociedades Vinculadas para el Tratamiento de la Información Protegida podrán utilizar los sistemas de información y bases de datos de propiedad de LA EMPRESA y/o de sus Sociedades Vinculadas (en adelante los "Sistemas de Información").
9. Principio de Temporalidad de la Información: En el caso de los Datos Personales Crediticios, los mismos no serán suministrados a usuarios o terceros cuando dejen de servir para la finalidad del banco de datos correspondiente

5.   ALCANCE DE LA POLITICA

 La presente Política tendrá el mismo ámbito de aplicación consagrado en las normas legales que forman parte del Marco Normativo, y se extenderá para regular y consagrar las políticas generales e integrales de Tratamiento de Información Protegida por parte de LA EMPRESA en el marco de la prestación de los servicios del módulo antifraude e identidad digital.

 En consecuencia, serán aplicables para todas las operaciones del módulo antifraude e identidad digital desarrolladas por LA EMPRESA en Colombia, o a través de sus Sociedades Vinculadas.

En el evento que cualquiera de las Sociedades Vinculadas tenga acceso o realice el tratamiento legítimo y autorizado de Información Protegida de los Titulares, se garantizará lo establecido en esta política, según les sea aplicable. Frente a los Titulares, LA EMPRESA será el único responsable de garantizar el cumplimiento de esta Política por parte de sus Sociedades Vinculadas.

La información personal recopilada sobre las personas antes designadas puede incluir lo siguiente:

5.1.           Identificación general e información de contacto:

Datos no sensibles como: nombre, dirección, dirección IP, correo electrónico,  teléfono, , fecha de nacimiento, metadata, datos relacionados con el dispositivo electrónico utilizado (teléfono móvil, computadora, tableta, entre otros), información de uso de su dispositivo electrónico y comportamiento, datos de geolocalización,  nivel educativo, traza digital de su correo electrónico y teléfono móvil, atributos físicos, registros de actividad e información financiera.

5.2.           Números de Identificación expedidos por organismos o agencias gubernamentales:

Número de cédula de ciudadanía, Número de Pasaporte, Número de Identificación Tributaria, número de tarjeta de identidad, número de Permiso por Protección Temporal, u otro Número de Identificación que se considere como público o esté disponible al público mediante   mecanismos   de   consulta    físicos   o   electrónicos.

 Respecto de los Datos Sensibles es facultativo del Usuario gestionar esta información mediante las diferentes herramientas de LA EMPRESA quien solo tratará esos Datos Sensibles con el fin de enviarlos a entidades o personas que los requieran para un trámite específico, previa Autorización expresa y debidamente informada del Titular de la Información, o cuando lo requiera una autoridad competente en ejercicio de sus funciones. En cualquier caso, el Usuario ostenta el control sobre el tratamiento de dichos datos, y en cualquier momento podrá solicitar su corrección, actualización o supresión. Entendiendo que dicha información, bajo la ley de protección de datos, es considerada como un Dato Personal Sensible y que el Usuario no está en la obligación de autorizar su tratamiento.

El Usuario no está obligado a usar estas herramientas de LA EMPRESA, lo que implicará que no podrá hacer trámites que requieran de este tipo de información, si decide no suministrarlos.

En adición a lo anterior LA EMPRESA transmitirá los siguientes datos personales como encargados dentro y fuera del territorio colombiano, para efectos de consultar su posible relación con situaciones o eventos que sugieran algún riesgo o alerta de riesgo en materia de fraude y/o suplantación de identidad: i) nombres y apellidos ii) tipo y número de documento de identidad , imagen del documento de identificación,  ; iii) lugar y fecha de expedición; iv) número celular, y v) correo electrónico; . Los resultados de estas verificaciones podrán ser transferidos por LA EMPRESA a Aliados o clientes con quienes el Usuario realice interacciones digitales a través de LA EMPRESA.

LA EMPRESA también podrá recibir directamente de sus Aliados o clientes información relacionada con eventuales casos de fraude y/o suplantación de identidad relacionados con la identidad digital registrada de los Usuarios, y tratará dicha información con la única finalidad de prevenir casos de fraude y/o suplantación de identidad  en  el contexto de la prestación del servicio del módulo antifraude e identidad digital  de LA EMPRESA .

5.3.          Otra información sensible

En ciertos casos, LA EMPRESA puede recibir información como aquella relativa a antecedentes penales, disciplinarios, fiscales, crediticios o historial de litigios. Durante la realización de trámites a través de la Aplicación y/o el SDK web, esta información en caso de ser requerida en el marco de una funcionalidad del módulo antifraude e identidad digital, únicamente será recibida por LA EMPRESA, para ser transferida y/o transmitida al Aliado que, de manera previa, expresa e informada haya sido autorizado por el Titular de los Datos. LA EMPRESA no almacenará dicha información, ni la tratará para ningún fin diferente. Lo anterior, sin perjuicio del almacenamiento de registros de auditoría, logs, y en general información requerida por la ley o para efectos de gestión de riesgos operativos. También se puede obtener información sensible, si voluntariamente se proporciona por el Titular del dato Entendiendo que dicha información, bajo la ley de protección de datos, es considerada como un Dato Personal Sensible y que el Usuario no está en la obligación de autorizar su tratamiento.

5.4.          Tratamiento de Datos Biométricos

LA EMPRESA podrá recolectar información personal biométrica como huellas, fotografías del rostro (selfie), iris, cadencias, voz, firma, reconocimiento facial, rasgos morfológicos, entre otros, (en adelante los “Datos Biométricos”) con el fin de permitir la Identificación de los Usuarios y/o Titulares, conforme a los parámetros de seguridad establecidos en la regulación, las buenas prácticas y las señaladas por las autoridades. Entendiendo que dicha información, bajo la ley de protección de datos, es considerada como un Dato Personal Sensible y que el Usuario no está en la obligación de autorizar su tratamiento.

Los Datos Biométricos serán tratados por LA EMPRESA con el fin de verificar la identidad personal de los Titulares de Datos Personales, corroborando la información biométrica contra bases de datos públicas o privadas, propias o de terceros, cuyos administradores sean responsables o encargados del tratamiento de información personal o biométrica. Así mismo, LA EMPRESA podrá utilizar los Datos Biométricos con el propósito de crear identidades digitales y/o obtener plantillas biométricas para posteriores cotejos de identidad. LA EMPRESA podrá transmitir dichas plantillas biométricas con terceras personas y/o entidades encargadas, a fin de verificar la identidad del Titular de Datos Personales en el momento de un registro, transacción, solicitud de productos y/o servicios, u otra forma de interacción del Titular de Datos Personales con sistemas informáticos que requieran procesos de autenticación.

  

5.5.          Tratamiento de datos asociados a la traza digital, uso y comportamiento:

LA EMPRESA recolectará datos asociados al dispositivo móvil del Usuario y al uso del mismo, y estos serán tratados por LA EMPRESA, con el propósito de prevenir el fraude, la suplantación de identidad, y en general brindar seguridad en las interacciones que los Usuarios realicen a través de la Aplicación o del SDK Web de LA EMPRESA. Estos datos podrán ser transferidos a Aliados con la autorización previa, expresa e informada del Titular de los Datos, con la finalidad de permitirle a los Aliados gestionar los riesgos de fraude y/o suplantación de identidad en las interacciones digitales realizadas a través de la Aplicación de LA EMPRESA y/o la Plataforma diseñada  para tal efecto.

Los datos a recolectar serán compartidos en tiempo real con los Aliados con quienes el Usuario realice trámites a través de la Aplicación o del SDK Web de LA EMPRESA para las finalidades mencionadas. Los datos a recolectar son: , i) errores en la instalación y uso ; ii) versiones de la aplicación utilizada; iii) eventos en el flujo, iv) intentos de envío de OTPs; v) resultados de validaciones realizadas en el proceso de registro, vi) intentos de registro y/o autenticación; vi) scores o puntuaciones de resultados de verificación; vii) número de teléfono móvil, viii) modelo de dispositivo móvil y marca; ix) sistema operativo y versión del dispositivo móvil registrado; x) DNS IP ISP de la conexión (IP del proveedor de internet), xi) latitud del DNS IP; xii) longitud del DNS IP; xiii) IP real del usuario; xiv) IP real de la ciudad de conexión (True IP City); xv) tipo de navegador web utilizado; xvi) longitud de IP real; xvii) latitud de IP real.

Si en cualquier momento el Usuario y/o Titular de los Datos desea revocar esta autorización, lo podrá solicitar a través de los canales dispuestos en la presente Política.

EN CUMPLIMIENTO DEL ARTÍCULO 6 DEL DECRETO 1377 DE 2013, LOS USUARIOS Y/O TITULARES DE INFORMACION PERSONAL NO ESTARÁN OBLIGADOS DE NINGUNA MANERA A SUMINISTRAR SUS DATOS BIOMÉTRICOS CONFORME A LO ACÁ DISPUESTO. AHORA BIEN, A LOS USUARIOS Y/O TITULARES QUE OPTEN POR NO AUTORIZAR EL USO Y TRATAMIENTO DE SUS DATOS BIOMÉTRICOS A LA EMPRESA DE CONFORMIDAD CON LA PRESENTE POLÍTICA, SE LES NEGARÁ EL ACCESO Y USO DE CIERTOS SERVICIOS DE LA APLICACIÓN.

6.     FINALIDAD DEL TRATAMIENTO DE DATOS PERSONALES

LA EMPRESA utilizará la información personal para cumplir con las obligaciones contractuales y legales, para la gestión del riesgo operativo, el riesgo de fraude y/o suplantación de identidad, y para desarrollar las actividades propias de su objeto social. LA EMPRESA también podrá Tratar los Datos Personales, entre otros, para los siguientes fines:

 6.1.  Ejercer su derecho de conocer de manera suficiente al Titular de los datos con quien se propone entablar relaciones, prestar servicios, y valorar el riesgo presente o futuro de las mismas relaciones y servicios.

6.2.         Efectuar las gestiones pertinentes para el desarrollo de la etapa precontractual, contractual y post contractual con LA EMPRESA, respecto de cualquiera de los productos o servicios ofrecidos por LA EMPRESA que el Titular haya o no adquirido, o respecto de cualquier relación negocial subyacente que tenga con ella, así como para dar cumplimiento a la ley colombiana o extranjera y a las órdenes de autoridades judiciales o administrativas;

6.3.   Evaluación, mantenimiento y mejora continua de las características y funcionalidades de la solución ofrecida por LA EMPRESA y la experiencia del Usuario.

6.4.  Conocimiento de las necesidades, gustos y preferencias del Usuario con el único propósito de ofrecer beneficios e información sobre trámites y novedades que puedan ser de su interés y que pueda realizar mediante LA EMPRESA.

6.5.  Envío de información comercial y publicitaria de carácter general sobre los productos y servicios de LA EMPRESA, así como de Aliados o Entidades que sean afines con las necesidades, gustos y preferencias del Usuario.

6.6. Análisis de datos personales recolectados para el continuo desarrollo de algoritmos de seguridad en la Identificación de los Usuarios y/o Titulares.

6.7.          Procesamiento de los datos personales y/o datos personales sensibles (como la biometría facial, de iris, de voz, comportamental, entre otros), con el propósito de verificar la identidad de sus titulares y/o autenticarlos para los trámites y procesos que deseen adelantar ante entidades públicas o privadas a través de la Aplicación y/o SDK web de LA EMPRESA.

6.8.   Realizar actividades de mercadeo, ventas y promocionales, telemarketing (mercadeo telefónico), servicio al cliente, actividades de activación de marca, premios y promociones de LA EMPRESA.

6.9.          Implementar estrategias de relacionamiento y/o segmentación con clientes, proveedores y otros terceros con los cuales LA EMPRESA tenga relaciones contractuales o legales.

6.10.      Mejorar productos y servicios u ofertar nuevos productos, y todas aquellas actividades asociadas a la relación comercial o vínculo existente con LA EMPRESA o aquel que llegare a tener.

6.11.      Gestionar trámites (solicitudes, quejas, reclamos), y efectuar encuestas de satisfacción respecto de los bienes y servicios de LA EMPRESA relacionados con la prestación del servicio del módulo antifraude e identidad digital o empresas vinculadas y los aliados comerciales de LA EMPRESA;

6.12.      Dar a conocer, Transferir y/o Trasmitir Datos Personales dentro y/o fuera del país a las compañías matrices, filiales o subsidiarias de LA EMPRESA o a terceros, aliados estratégicos, como consecuencia de un contrato, ley o vínculo lícito que así lo requiera, o para implementar servicios de computación en la nube.

 

6.13. Ordenar, catalogar, clasificar, dividir o separar la información suministrada por los Titulares de datos.

6.14.   Verificar, corroborar, comprobar, validar, investigar o comparar la información suministrada por los Titulares de datos, con cualquier información de que disponga legítimamente, como relaciones comerciales, y/o ante bases de datos públicas y/o privadas gestionados por encargados y/o responsables, con el propósito de validar información requerida por Aliados en el marco de trámites y/o interacciones a través de la Aplicación y/o el SDK web de LA EMPRESA, siempre con la autorización previa, expresa e informada del Titular de los Datos.

6.15.   Tratar la información personal suministrada con fines de estadística y analítica, gestión de riesgos, gestión de identidades, prevención del fraude y/o la suplantación de identidad, perfilamiento de riesgo de fraude /o suplantación de identidad, y/o transmitir y/o transferir dicha información y/o los resultados de su análisis con Aliados para permitirles a estos gestionar los riesgos de fraude y/o suplantación de identidad en sus transacciones a través de la Aplicación y/o el SDK web, siempre con la autorización previa, expresa e informada del Titular de los Datos.

6.16. Transferir la información personal suministrada por el Usuario en el proceso de registro de LA EMPRESA, al igual que la información que de ésta se pueda derivar, a entidades Aliadas o clientes, responsables del tratamiento de datos, en el marco de un proceso de vinculación de clientes (onboarding), o durante cualquier trámite que haga el Usuario con un Aliado o entidad cliente de LA EMPRESA a través de su solución.

6.17. Acceder, consultar, comparar y evaluar toda la información que sobre el Titular se encuentre almacenada en las bases de datos de cualquier central de riesgo crediticio, financiero, de antecedentes judiciales o de seguridad, de naturaleza estatal o privada, nacional o extranjera, o cualquier base de datos comercial o de servicios, que permita establecer de manera integral e histórica completa, el comportamiento que como deudor, usuario, cliente, garante, endosante, afiliado, beneficiario, suscriptor, contribuyente y/o como Titular de servicios financieros, comerciales o de cualquier otra índole.

6.18.      Conocer, almacenar y procesar toda la información suministrada por los Titulares de datos en una o varias bases de datos, en el formato que estime más conveniente.

6.19.      Los datos biométricos, catalogados como información sensible y de facultativo suministro, serán tratados con fines de seguridad, validación de información y como sistema de identificación biométrica.

6.20. Enviar información importante acerca de cambios en las políticas, otros términos y condiciones, modificaciones en el Sitio web y otra información de carácter administrativo o comercial.

 

6.21. De acuerdo con las obligaciones legales y corporativas de LA EMPRESA para prevenir, detectar e investigar delitos, incluidos fraude y lavado de dinero, y analizar y gestionar otros riesgos comerciales.

6.22.Llevar a cabo estudios técnico – actuariales, estadísticas, investigaciones, analítica y análisis de mercado, incluidas encuestas de satisfacción.

6.23.   Personalizar la experiencia presentando información y publicidad diseñadas de acuerdo con sus características específicas como cliente.

6.24.   Identificar ante las personas a quien envíe mensajes a través del Sitio Web.

6.25.      Dar la oportunidad de participar en sorteos, concursos y promociones similares y administrar estas actividades. Algunas de estas actividades tienen términos y condiciones adicionales, sobre los que se requerirá la Autorización expresa, dado que podrían contener otra información sobre cómo se usa y se divulga la Información Personal respectiva.

6.26.   Administrar la infraestructura y las operaciones comerciales; y cumplir con las políticas y procedimientos internos, incluidos aquellos relacionados con auditorias, finanzas, contabilidad, facturación, cobro, sistemas de tecnología de la información, alojamiento de datos, sitios web, continuidad del negocio; y gestión de registros, documentos e impresión.

6.27.   Resolver quejas y tramitar solicitudes de acceso a datos o corrección de los mismos.

6.28.  Cumplir con las leyes y las obligaciones regulatorias aplicables, tales como las relativas a la lucha contra el lavado de dinero y el terrorismo; cumplir con procesos legales, y responder a las peticiones de las autoridades públicas y gubernamentales.

6.29.      Defender los derechos, privacidad, seguridad y/o propiedad de LA EMPRESA, así como de sus clientes, usuarios, en el marco de la prestación de los servicios del módulo antifraude e identidad digital en caso de presentarse cualquier controversia en que la información pueda aportarse como acervo probatorio y obtener las indemnizaciones aplicables o limitar los daños y perjuicios que puedan afectar a LA EMPRESA.

6.30.   Entregar, Transferir o Transmitir Información Personal dentro y fuera del territorio colombiano a otras personas como proveedores, terceros que actúan en calidad de encargados del tratamiento para la prestación de servicios de procesamiento, alojamiento, seguridad de la información, prevención del fraude y/o la suplantación de identidad, a Aliados y/o a Aliados Estratégicos, para efectos de, entre otros, salvaguardar mejor la información, proteger la privacidad y la identidad digital de los Usuarios, llevar un control de calidad de los servicios prestados.

6.31.   Facilitar la continuidad de los servicios prestados por las Entidades a los Usuarios, lo cual incluye la posibilidad de portar la información requerida de la identidad del Usuario a la Entidad de la cual este es cliente y que ha contratado con LA EMPRESA. La transferencia de estos Datos Personales generará un costo asociado, entre otros, a los requerimientos tecnológicos y operacionales para que esto se pueda llevar a cabo.

6.32.      Adelantar a partir de la identificación clara de beneficios que evidencien el balance entre LA EMPRESA y el Usuario, acuerdos que viabilicen la comercialización del uso, almacenamiento y circulación de los datos personales objeto de tratamiento, previa información al usuario sobre esta posibilidad y su respectivo alcance.

6.33.      Consultar en nombre y/o representación del Usuario, la información o documentos de identidad de éste, contenidos en bases de datos de naturaleza estatal o privada con el fin de verificar, corroborar, comprobar, validar, investigar o comparar la información suministrada por los Titulares de datos, con el propósito de validar la identidad del usuario y/o información requerida por Aliados de LA EMPRESA, en el marco de trámites y/o interacciones a través de la Aplicación y/o el SDK web de LA EMPRESA, siempre con la autorización previa, expresa e informada del Titular de los Datos.

Las entidades con las que el Usuario active la realización de un trámite al interior de la aplicación o del SDK web, serán responsables de obtener las autorizaciones que requieran en desarrollo de sus propios objetos sociales o actividades para tratar los Datos Personales enviados por la aplicación cuando se quiera hacer uso de estos para finalidades distintas al trámite señalado. Estas entidades definirán de forma autónoma las finalidades adicionales para el Tratamiento de los Datos Personales que es enviada por LA EMPRESA y serán responsables del cumplimiento de la legislación de Protección de datos personales.

 6.2.       Obligaciones en el uso de la aplicación y el SDK WEB

Los Usuarios y/o Titulares tienen una serie de obligaciones en el acceso y uso de las diferentes herramientas de LA EMPRESA. Las siguientes obligaciones protegen los Datos Personales almacenados en estas y limitan las posibilidades de que se presente un acceso no autorizado a la misma:

 

• Custodiar sus credenciales de autenticación y hacer un buen uso de los servicios de la Aplicación y/o del SDK web.
• No acceder a las cuentas de otros usuarios y/o Titulares o a servicios no permitidos, o extraer Datos Personales.
• No violar la confidencialidad de la información o de terceros que hagan uso de la Aplicación y/o el SDK web.
• No suplantar la identidad de otro usuario o de un tercero mediante la Aplicación y/o el SDK web.
• No realizar trámites en la Aplicación y/o el SDK web a través de puntos inseguros, lugares públicos o puntos de Wi-Fi que no tengan adecuadas medidas de seguridad.
• Velar por el buen uso de los Datos Personales a los que tenga acceso a través de la Aplicación y/o el SDK web.
• Revisar la información que almacenará en la Aplicación y/o el SDK web y velar que esta sea la necesaria y que no exponga aspectos de su privacidad que no sean compatibles con las finalidades perseguidas por LA EMPRESA.
• Informar cualquier anomalía o sospecha que tenga sobre el uso no autorizado o fraudulento, incluyendo la ocurrencia de incidentes de seguridad que expongan los Datos Personales a personas no autorizadas.
• Ingresar y almacenar Datos Personales propios y/o de terceros que sean correctos y actualizados.
• Proporcionar información, cierta y precisa al hacer uso de la Aplicación y/o el SDK web.

6.3.  Transferencia                 y/o        transmisión                                                   nacional                                                   y/o internacional de la información personal.

LA EMPRESA puede Tratar, compartir, Transmitir, entregar, suministrar, Transferir o divulgar la información personal, dentro y fuera del territorio colombiano, siempre y cuando el país de destino ostente niveles adecuados de Protección de Datos, y de acuerdo con las finalidades legales, contractuales con el Titular, así como con las enunciadas en la presente Política, siempre y cuando cuente con la Autorización del Titular:

6.3.1.          Otras firmas o empresas:

En el desarrollo de la comercialización, mercadeo, cumplimiento de los contratos, y/o en general desarrollo de su objeto social, LA EMPRESA puede poner la información personal a disposición de terceros, como firmas, abogados o empresas que ayuden al desarrollo misional de LA EMPRESA y a otros agentes, representantes designados, socios comerciales e instituciones financieras, sociedades de valores y otros socios comerciales. En cualquiera de esos casos, LA EMPRESA tomará las medidas necesarias para que esas otras aseguradoras y distribuidores conozcan y se comprometan a observar esta Política, bajo el entendido de que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente concernientes a la relación comercial con LA EMPRESA (y solamente mientras esta dure) y no podrá ser usada o destinada para propósito o fin diferente, a menos que la Autorización conferida por el Titular del dato sea lo suficientemente amplia como para que abarque un Tratamiento con finalidades diferentes.

6.3.2.          Proveedores de servicios:

Terceros externos proveedores de servicios, tales como contadores, auditores, expertos, abogados y otros asesores externos profesionales; proveedores de viajes y asistencia médica; compañías de asistencia, proveedores de servicios de centros de llamadas; proveedores de servicios de sistemas de tecnología de la información, apoyo, almacenamiento y alojamiento de la información; proveedores de servicios de impresión, publicidad, comercialización e investigación de mercado, y análisis; bancos e instituciones financieras que atiendan las cuentas de LA EMPRESA, terceros administradores de reclamaciones; proveedores de gestión de documentos y registros; ingenieros, inspectores, asesores legales, traductores, y otros vendedores y proveedores de servicios externos que presten su colaboración para llevar a cabo las actividades comerciales. En cualquiera de esos casos y sin perjuicio de la obligación de observar el secreto profesional en los casos que así corresponda, LA EMPRESA tomará las medidas necesarias para que esos proveedores de servicios conozcan y se comprometan a observar esta Política, bajo el entendido de que la información personal que reciban, únicamente podrá ser utilizada para asuntos directamente concernientes a la relación comercial con LA EMPRESA (y solamente mientras esta dure) y no podrá ser usada o destinada para propósito o fin diferente, a menos que la Autorización conferida por el Titular del dato sea lo suficientemente amplia como para que abarque un Tratamiento con finalidades diferentes.

6.3.3.          Autoridades gubernamentales y terceros implicados en acciones judiciales:

LA EMPRESA  también puede intercambiar información personal con autoridades gubernamentales o públicas de otro tipo (incluidas, entre otras autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal), y terceros participantes en procedimientos legales civiles y sus contadores, auditores, otros abogados y otros asesores y representantes, porque es necesario o apropiado: (a) para cumplir con las leyes vigentes; (b) para cumplir con procesos jurídicos; (c) para responder las solicitudes de las autoridades públicas y del gobierno; (d) para hacer cumplir los términos y condiciones del servicio; (e) para proteger las operaciones; (f) para proteger los derechos, privacidad, seguridad o propiedad o los de terceros aliados; y (g) obtener las indemnizaciones aplicables o limitar los daños y perjuicios que puedan afectar a LA EMPRESA. 

6.3.4.          Aliados Estratégicos:

LA EMPRESA también podrá compartir información personal con los aliados estratégicos del negocio de acuerdo con lo que se establezca en los contratos o acuerdos celebrados con dichos Aliados.

6.3.5.          Otros terceros

Se podrá compartir información personal con beneficiarios, proveedores de emergencia (bomberos, policía y servicios médicos de emergencia), minoristas, redes de médicos, organizaciones y proveedores, operadores de viaje, centrales de riesgo, las agencias de informes de crédito, y otras personas involucradas en un incidente que sea objeto de una reclamación, así como compradores y potenciales compradores u otras partes de una reorganización, fusión, venta, empresa conjunta, cesión, transferencia, o cualquier otra transacción, real o propuesta, en relación con la totalidad o parte de nuestro negocio, activos o acciones.

La información personal también puede ser compartida por los Titulares de la información, en muros de mensajes, grupos de debate, páginas de perfiles y blogs, y en otros servicios del Sitio Web en los cuales puede publicarse información y materiales. Debe tenerse en cuenta que la información que sea publicada o revelada a través de estos servicios se convertirá en información pública y podría estar disponible para los visitantes del Sitio Web y para el público en general.

 7.       DERECHOS DE LOS TITULARES

7.1. Los Titulares tendrán los derechos consagrados en el Marco Normativo y en los contratos celebrados con LA EMPRESA, según les sean aplicables teniendo en consideración la Información Protegida objeto de Tratamiento por parte de LA EMPRESA y/o de las Sociedades Vinculadas. 

Los Titulares de los cuales se realice el Tratamiento de Datos Personales tendrán específicamente los derechos previstos por la Ley 1581 de 2012, concretamente, pero sin limitarse, a los descritos en esta política, y todas aquellas normas que la reglamenten, adicionen o complementen. Estos derechos son:

 

1. Acceder de forma gratuita a los datos proporcionados que hayan
   sido objeto de Tratamiento.
2. Conocer, actualizar y rectificar su información frente a datos
   parciales, inexactos, incompletos, fraccionados, que induzcan a
   error, o aquellos cuyo Tratamiento esté prohibido o no haya sido
   autorizado.
3. Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
4. Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.
5. Presentar ante la Superintendencia de Industria y Comercio (SIC)
   quejas por infracciones a lo dispuesto en la normatividad vigente.
6. Revocar la autorización y/o solicitar la supresión del dato, siempre
   que no exista un deber legal o contractual que impida eliminarlos.
7. Abstenerse de responder las preguntas sobre Datos Sensibles.
   Tendrán carácter facultativo las respuestas que versen sobre Datos
   Sensibles o sobre datos de las niñas, niños y adolescentes.

8.          Reglas de Interpretación.

8.1. Para efectos de interpretación de las leyes y decretos que se expidan en la materia, se tendrá como parámetro de interpretación legal y constitucional las sentencias de la Corte Constitucional de Colombia. Los derechos de los Titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el Artículo 20 de la Constitución Política de Colombia y con los demás derechos constitucionales aplicables.

8.2. Para toda aquella Información Protegida, que sea recolectada por LA EMPRESA y/o las Sociedades Vinculadas, y que no tenga el carácter de: (i) Datos Personales de carácter privado o semiprivado; y (ii) Datos Personales Crediticios de carácter privado o semiprivado, los derechos de los Titulares serán únicamente aquellos establecidos y pactados de manera contractual con LA EMPRESA. En todo caso frente a esta información, LA EMPRESA garantizará su seguridad y confidencialidad cuando esté sujeta a ello y los principios orientadores de las Políticas que les sean aplicables.

8.3. Tratándose de información o datos de carácter público, LA EMPRESA garantizará la veracidad y calidad de la información que ostenta esta calidad y que repose en los Sistemas de Información. 

 9.     DEBER GENERAL DE LA EMPRESA EN EL TRATAMIENTO DE INFORMACION

LA EMPRESA de manera general, y de conformidad con el Marco Normativo, las normas legales que regulan sus relaciones jurídicas con los Titulares, y en especial, las obligaciones específicas que asume frente a los Titulares, tiene como deber general en el Tratamiento de Información Protegida el respetar y garantizar en todo momento los derechos propios de los Titulares, garantizando, cuando sea aplicable y según el carácter de la información utilizada, la confidencialidad, reserva, seguridad e integridad de la misma.

9.1. Deberes especiales de la empresa en su calidad de responsable del tratamiento de datos personales en los servicios del módulo antifraude e identidad digital.

9.1.1.      Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data, es decir, conocer, actualizar o rectificar sus Datos Personales.

9.1.2.      Solicitar y conservar, en las condiciones previstas en esta Política, copia de la respectiva Autorización otorgada por el Titular.

9.1.3.      Informar de manera clara y suficiente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la Autorización otorgada.

9.1.4.      Informar a solicitud del Titular sobre el uso dado a sus Datos Personales; Tramitar las consultas y reclamos formulados en los términos señalados en la presente política.

9.1.5.      Velar por la calidad, seguridad y confidencialidad de los Datos Personales.

9.1.6.      Observar los principios de veracidad o calidad, seguridad y confidencialidad en los términos establecidos en esta Política.

9.1.7.      Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

9.1.8.      Actualizar la información cuando sea necesario.

9.1.9.      Rectificar los Datos Personales cuando ello sea procedente.

9.2. Deberes especiales de la empresa en su calidad de responsable del tratamiento de datos personales en los servicios del módulo antifraude e identidad digital cuando realiza el tratamiento a través de un encargado

9.2.1.      Suministrar al Encargado del Tratamiento únicamente los Datos Personales cuyo Tratamiento esté previamente autorizado.

9.2.2.      Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

9.2.3.      Comunicar de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

9.2.4.      Informar de manera oportuna al Encargado del Tratamiento las rectificaciones realizadas sobre los Datos Personales para que este proceda a realizar los ajustes pertinentes.

9.2.5.      Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

9.2.6.      Informar al Encargado del Tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

9.3. Deberes especiales de la empresa en su calidad de responsable del tratamiento de datos personales en los servicios del módulo antifraude e identidad digital frente a la superintendencia de industria y comercio

9.3.1.      Informar cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

9.3.2.      Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio en materia de Protección de Datos Personales.

9.4. Deberes especiales de la empresa cuando actúa en su calidad de encargado del tratamiento de datos personales en los servicios del módulo antifraude e identidad digital.

Si LA EMPRESA realiza el Tratamiento de datos en nombre de otra entidad u organización (Responsable del Tratamiento) como encargado o mandatario o figura equivalente, deberá cumplir los siguientes deberes:

• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los datos.
• Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles siguientes contados a partir de su recibo; conforme el literal d. del artículo 18 de la Ley 1581 de 2012.
• Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente Política.
• Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se establece en la presente Política.

• Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas autorizadas por el Titular o facultadas por la ley para dicho efecto.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

10.    DE LA AUTORIZACIÓN

10.1.      Autorización para Tratamiento de datos

LA EMPRESA deberá obtener de parte del Titular su Autorización previa, expresa e informada para recolectar y Tratar sus Datos Personales. Esta obligación no es necesaria cuando se trate de datos de naturaleza pública. Para obtener la Autorización    deberán    seguirse    las    siguientes    instrucciones:

En primer lugar, antes de que la persona autorice es necesario informarle de forma clara y expresa lo siguiente:

• El Tratamiento al cual serán sometidos sus Datos Personales y la finalidad del mismo.
• El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
• Los derechos que le asisten como Titular previstos en el artículo 8 de la Ley 1581 de 2012;
• La identificación, dirección física o electrónica de LA EMPRESA.

En segundo lugar, obtendrá el consentimiento del Titular a través de cualquier medio que pueda ser objeto de consulta posterior, tal como la página web, formularios, formatos, actividades, concursos, presenciales o en redes sociales, PQR, mensajes de datos o Apps.

Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento.

La Autorización también podrá obtenerse a partir de conductas inequívocas del Titular del Dato que permitan concluir de manera razonable que este otorgó su consentimiento para el Tratamiento de su información. Dicha (s) conducta (s) debe (n) ser muy clara (s) de manera que no admita (n) duda o equivocación sobre la voluntad de autorizar el Tratamiento.

10.2.        Autorización              para        Tratamiento               de                                          datos      sensibles

Cuando se trate de la recolección de datos sensibles se deben cumplir los siguientes requisitos:

 

• La Autorización debe ser explícita.
• Se debe informar al Titular que no está obligado a autorizar el Tratamiento de dicha información.
• Se debe informar de forma explícita y previa al Titular cuales de los datos que serán objeto de Tratamiento son sensibles y la finalidad de este

10.3. Autorización de Tratamiento de datos de menores de edad.

 LA EMPRESA realizará el tratamiento de los datos personales de menores adultos bajo las siguientes consideraciones:

10.3.1.   LA EMPRESA, en desarrollo del principio de debida diligencia realiza un análisis de las finalidades de Tratamiento de los datos de menores adultos atendiendo a su interés superior y, procurando que se cumpla con el respeto a sus derechos fundamentales.

10.3.2.   Con base en dicho análisis, LA EMPRESA habilita la posibilidad de que los menores adultos puedan acceder a determinados servicios, esto de acuerdo con las finalidades que sean acordes con el interés superior de los menores.

10.3.3.   Los menores de edad que requieran hacer el registro en LA EMPRESA para efectos de facilitar por ejemplo su inclusión en el sistema financiero o la adquisición de los productos y servicios de esa naturaleza, serán informados por LA EMPRESA del alcance del Tratamiento de sus Datos Personales a través de la Política de Tratamiento de la Información puesta a su disposición.

10.3.4.   LA EMPRESA utilizará un lenguaje sencillo y claro para facilitar la comprensión de la finalidad del tratamiento e informará de forma explícita y previa cuáles son los datos solicitados, advirtiendo el carácter sensible y facultativo de los datos a ser proporcionados.

10.3.5.   LA EMPRESA advertirá a los menores adultos acerca de su responsabilidad de comunicar a sus representantes legales sobre la solicitud de acceso a los servicios de LA EMPRESA; lo anterior indicándole al menor adulto que dicha manifestación de voluntad le será informada a su representante legal a través de SMS, correo electrónico u otro medio similar.

10.3.6.   Para estos efectos LA EMPRESA solicitará al menor adulto los datos de contacto (celular o correo electrónico) de sus representantes legales, datos que serán utilizados exclusivamente para informar acerca de la solitud realizada por el menor para acceder a los servicios de LA EMPRESA.

10.3.7.   LA EMPRESA informará al Representante Legal del menor adulto, a través de los medios atrás indicados acerca del registro que ha hecho el menor en su plataforma, esto con el fin de que aquel pueda manifestar si presenta alguna objeción, caso en el cual el menor adulto será desactivado de la plataforma.

10.3.8.   En atención al carácter especial de los datos de menores, LA EMPRESA se ocupará de proveer el ambiente más seguro para este tipo de datos y realizará el tratamiento única y exclusivamente para el cumplimiento de las obligaciones derivadas de los servicios solicitados por el menor.

10.3.9.   Los canales de atención de peticiones, quejas y reclamos estarán atentos en caso de que exista algún reclamo o consulta relacionados con los datos del menor de edad y los atenderán con total diligencia.

 

11.    SEGURIDAD DE LA INFORMACION

En desarrollo del Principio de Seguridad establecido en la normatividad vigente y de conformidad con las obligaciones legales que LA EMPRESA posee, se adoptarán las medidas tecnológicas, operativas y administrativas que sean necesarias para otorgar seguridad a los registros e Información Protegida de los Titulares, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Cuando LA EMPRESA proporcione información personal a un proveedor de servicios, este será seleccionado de conformidad con las políticas y procedimientos aprobados y se le exigirá la utilización de las medidas adecuadas para proteger la confidencialidad y seguridad de la información personal.

12.    RETENCIÓN DE INFORMACIÓN PERSONAL

LA EMPRESA adopta medidas razonables para garantizar que la información personal procesada sea confiable para el uso pretendido, preciso y completo según sea necesario para llevar a cabo los fines descritos en esta Política de Tratamiento de la Información.  LA EMPRESA mantendrá la información personal de los Titulares de la Información durante el periodo que sea necesario para cumplir con los fines establecidos en esta Política y hasta por 10 años con fines de respaldo en atención a los requerimientos legales correspondientes, salvo que los contratos, la ley vigente o las buenas prácticas exijan o permita un periodo de retención mayor.

LA EMPRESA, bajo el Marco Normativo, no estará obligado a suprimir de sus Sistemas de Información la Información Protegida, frente a la cual el Titular tenga un deber legal o contractual con LA EMPRESA y/o las Sociedades Vinculadas de permanecer en los Sistemas de Información.

 

13.    INFORMACIÓN PERSONAL DE OTRAS PERSONAS

Bajo principio constitucional de buena fe, si se proporciona información personal a LA EMPRESA en relación con otras personas diferentes de quien la otorgue, este manifiesta contar con el consentimiento legalmente necesario para entregarla y que LA EMPRESA pueda realizar su recopilación, uso, divulgación, transmisión y Transferencia   de   información   personal   de   las   otras   personas.

 14.    PREFERENCIAS DE COMERCIALIZACIÓN

LA EMPRESA proporcionará oportunidades para que los Titulares de la información informen sus preferencias de mercadeo, incluyendo las comunicaciones con estos, quienes también podrán comunicarse por correo electrónico a protecciondatos@rbm.com.co  o remitir en físico a la Carrera 20 # 33-15 en Bogotá D.C.

15. ATENCION DE PETICIONES, RECLAMOS Y CONSULTAS 

Área responsable de atender las peticiones, reclamos y consultas

LA EMPRESA ha designado al OFICIAL DE PROTECCION DE DATOS PERSONALES, funcionario adscrito a la Dirección Jurídica - Vicepresidencia de Operaciones y Servicios como la persona encargada de atender, canalizar y dar trámite a las peticiones, reclamos y consultas de los Titulares, salvaguardando sus derechos en los términos del Marco Normativo y las presentes Políticas. 

Canales para presentar peticiones, reclamos y consultas

El Titular que: (i) considere que la Información Protegida contenida en un Sistema de Información, o en una base de datos, debe ser objeto de corrección, actualización, supresión, rectificación o revocatoria de la autorización, (ii) desee ejercer cualquiera de los derechos que le asisten en su calidad de Titular que se describen en la presente Política, o (iii) advierte el presunto incumplimiento de cualquiera de los deberes contenidos en el Marco Normativo, podrán presentar una petición, reclamo o consulta (según corresponda) ante LA EMPRESA por escrito, a través de correo electrónico o verbalmente a través de los siguientes canales de atención:

 

• Correspondencia física: Carrera 20 # 33 – 15 Bogotá, Colombia.
• Correspondencia electrónica: protecciondatos@rbm.com.co
• Línea de atención en Bogotá: 601 3323200
• Líneas de atención a nivel nacional: 018000122363 | 018000912363 

Requisitos e información debe contener la petición, reclamo o consulta 

El Titular podrá diligenciar el formato de petición, reclamo o consulta que se acompaña como Anexo A de estas Políticas o preparar directamente un escrito que contenga, como mínimo, la siguiente información: 

• Nombre(s) y apellidos completos.
• Datos de contacto (Dirección física y/o electrónica y teléfonos de
  contacto).
• Medio(s) elegido(s) para recibir respuesta a su solicitud.
• Motivo(s)/hecho(s) que dan lugar a la petición, consulta o reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar
  prueba de la autorización otorgada, revocarla, suprimir o acceder a la
  información).
• Firma (si aplica) y número de identificación. 

Una vez presentada en debida forma la petición, reclamo o consulta, se seguirá el procedimiento que se describe a continuación.

Procedimiento para la atención de peticiones, reclamos y consultas

15.1. Presentación de la petición, reclamo o consulta.

15.2. Revisión por parte de LA EMPRESA de la información presentada.

15.2.1.      LA EMPRESA estará facultada para solicitar en cualquier momento información adicional al Titular, de encontrar la necesidad de recibir información adicional para resolver la petición, reclamo o consulta.

15.2.2.      Cuando se trate de una consulta, LA EMPRESA deberá resolverla en un término de diez (10) días hábiles contados a partir de la fecha que se recibió la misma. Cuando no fuere posible cumplir con este tiempo, se deberá informar al interesado expresando los motivos del retardo y la fecha en que se atenderá la consulta en un término no mayor a cinco (5) días hábiles.

15.2.3.      Cuando se trate de un reclamo, se observarán las siguientes reglas:

(a)        Si el reclamo se encuentra incompleto, LA EMPRESA requerirá al interesado dentro de los cinco (5) días calendario siguientes a la recepción del mismo para que subsane la información o documentación requerida. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quién reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término no mayor a dos (2) días hábiles e informará de la situación al Titular.

(b)        Una vez recibido el reclamo en debida forma (de manera completa), se incluirá en la base de datos correspondiente una leyenda que diga "reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

(c)        El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo en debida forma (de manera completa). Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer plazo.

15.2.4.      Sin perjuicio de lo anterior, y en el evento que no haya sido atendida su reclamo por parte de LA EMPRESA, el Titular podrá en todo caso acudir posteriormente en una segunda instancia, ante la Superintendencia de Industria y Comercio (www.sic.gov.co). En dicho evento, para la presentación del reclamo ante la Superintendencia de Industria y Comercio se tomará en consideración la naturaleza de la Información Protegida, siendo procedente cuando dicha información: (i) no tenga el carácter de información pública o sea un Dato Público, y (ii) LA EMPRESA esté en violación de los principios aplicables para la información pública o de un Dato Público.

Información importante que debe tener en cuenta el Titular.

El Titular debe tener en cuenta que derecho de supresión de información puede ejercerse cuando considere que sus datos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente que puede derivar en la eliminación total o parcial de la información personal que se conserve en los registros, archivos, o bases de datos de LA EMPRESA. Sin embargo, LA EMPRESA puede negar la supresión cuando:

1. El titular tenga un deber legal o contractual de permanecer en la base de datos.
2. La eliminación de datos obstaculice actuaciones judiciales o administrativas
   vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la
   actualización de sanciones administrativas.
3. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con
   una obligación legalmente adquirida por el titular.

El derecho de revocar la autorización podrá ejercerse siempre que no exista un deber legal o contractual que impida eliminar los Datos Personales cubiertos por la autorización. 

16.  INFORMACION DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACION PROTEGIDA 

Para todos los efectos legales el Responsable del Tratamiento de la Información Protegida será:

• REDEBAN S.A. (LA EMPRESA)
• NIT.                                                              830.070.527-1
• Teléfono:                                            601 3077110
• Dirección:                                          Cra 20 # 33 - 15 Bogotá D.C., Colombia
• Área Responsable:                                   Dirección Jurídica | Oficial de Protección de Datos Personales 
• Correo Electrónico Autorizado:         protecciondatos@rbm.com.co 
• Página web:                                               www.redeban.com

 17. VIGENCIA

Estas Políticas, en su versión más reciente, están vigentes y aplican desde su Fecha de Publicación.

18. ACTUALIZACION DE LA POLÍTICA

LA EMPRESA se reserva el derecho de modificar los términos y condiciones de la presente Política de Tratamiento de Datos Personales, como parte del esfuerzo por cumplir con las obligaciones legales establecidas, los decretos, reglamentarios y demás normas que complementen, modifiquen o deroguen lo contenido en este documento, con el fin de reflejar cualquier cambio en nuestras operaciones, funciones o finalidades.

La versión más reciente de la Política se mantendrá publicada en la página web de LA EMPRESA.