La presente política para el tratamiento y protección de datos personales tiene como objetivo determinar los parámetros y reglas que garanticen el correcto tratamiento de información de tipo personal, así como explicar el procedimiento de atención de consultas y reclamos en materia de datos personales que sean presentados por los titulares de información personal. Esta política se ha elaborado de conformidad con lo dispuesto en la Constitución Política de Colombia y en cumplimiento de las disposiciones del régimen de protección de datos, el cual está compuesto por la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, Decreto 886 de 2014, Circular Externa 002 de 2015, Decreto 1074 de 2015, Circular Externa 005 de 2017, Decreto 090 de 2018, Ley 2157 del 29 de octubre de 2021 y abarca las demás disposiciones complementarias que versen sobre todas aquellas actividades que constituyan tratamiento de datos personales, para de esta manera garantizar los derechos de la privacidad y habeas data de los titulares de información personal. Esta política debe ser aplicada por todos los colaboradores de BAN100 y rige a partir de su divulgación en todas sus sedes.
2.1. Marco Legal
La protección integral de los datos incluidos en bases de datos o archivos de cualquier fuente de información, garantizando a sus Titulares el ejercicio del derecho constitucional a conocer, actualizar y rectificar su información y demás garantías constitucionales contenidas en los artículos 15 y 20 de la Constitución Política de Colombia.
La Ley Estatutaria 1581 de 2012 establece las disposiciones generales para la Protección de Datos Personales y dentro de los deberes de los responsables del tratamiento, se encuentra el adoptar el manual Interno de políticas y procedimientos que garantice el uso adecuado de la información y gestión de las consultas, peticiones y reclamos.
A partir del Decreto 1377 de 2013, se dan los parámetros para facilitar la implementación y el cumplimiento de la Ley 1581 de 2012 y se facultan a los responsables y encargados del tratamiento de la información para el uso de mecanismos alternos como correos electrónicos, página web, mensajes de texto etc., para dar a conocer sus políticas y finalidades del tratamiento de la información.
De acuerdo con las disposiciones contenidas en el Código Penal, se incurre en el delito de violación de datos personales cuando "sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes".
Todo lo anterior, es de estricto cumplimiento para todos los funcionarios y terceros involucrados en los procesos de tratamiento de la información.
2.2. Definiciones
2.2.1. Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales.
2.2.2. Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
2.2.3. Dato personal: Un dato personal es la información concerniente a las personas físicas, que permiten identificarla gracias a la visión de conjunto que se haga de los mismos. Según su naturaleza, los datos personales, pueden ser clasificados como privados, semiprivados, públicos y sensibles; y existen varios tipos de datos personales, y no se limitan simplemente a los datos de identificación, sino que abarca, laborales,
patrimoniales, académicos, ideológicos, de salud, características físicas, vida, hábitos,
entre otros.
2.2.4. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del
responsable del Tratamiento.
2.2.5. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los
datos; el responsable de tratamiento de datos personales es la persona natural o jurídica,
pública o privada, que por sí misma o en asocio con otros, decida sobre el tratamiento
de los datos, decide las finalidades, contenido y uso que otorgará a los datos personales
que recabe en desarrollo de su actividad económica. El responsable del tratamiento es
quien, define los fines y los medios del tratamiento de información personal, por lo cual
es quien debe solicitar y conservar la autorización en la que conste el consentimiento
expreso del titular para el tratamiento de sus datos, así como informar con claridad la
finalidad de este.
2.2.6. Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
2.2.7. Tratamiento: Se refiere a cualquier operación o procedimiento físico o automatizado
involucrado dentro del ciclo de vida del dato, en los que se incluyen actividades como
captura, creación, uso, almacenamiento, custodia, mantenimiento, modificación,
acceso, transmisión, transferencia, disociación, supresión y eliminación.
2.2.8. Consecuencia: Resultado de la materialización de un riesgo, expresado cualitativa o
cuantitativamente.
2.2.9. Evaluación del riesgo: Análisis de la situación para determinar el nivel de riesgo asociado a la posibilidad o probabilidad e impacto.
2.2.10. Finalidad: La finalidad corresponde a los fines exclusivos para los cuales fue entregada por el titular. Se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada, cualquier utilización diversa,
deberá ser autorizada en forma expresa por el titular.
2.2.11. Habeas Data: Es el derecho que todo titular de información tiene de conocer,
actualizar, rectificar u oponerse a la información concerniente a sus datos personales.
2.2.12. Identificación del peligro: para reconocer si existe un peligro y definir sus características.
2.2.13. Incidente: Evento o situación que ocurre en un lugar particular durante un intervalo de tiempo particular.
2.2.14. Medidas de control: Medida(s) implementada(s) con el fin de minimizar la ocurrencia.
2.2.15. Posibilidad: Se emplea como una descripción cualitativa de la probabilidad o
frecuencia.
2.2.16. Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan, las
cuales transforman elementos de entrada en resultados.
2.2.17. Sistema de información: Conjunto de elementos orientados al tratamiento y
administración de datos e información organizados y listos para su uso posterior,
generados para cubrir una necesidad u objetivo
2.3. Principios
El tratamiento de la información personal está sometido a reglas especiales, las cuales son denominadas principios de tratamiento de datos personales, los cuales se encuentran establecidos en la Ley 1581 de 2012, los cuales son:
2.3.1. Principio de legalidad en materia de tratamiento de datos: El tratamiento a que se
refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en
ella y en las demás disposiciones que la desarrollen.
2.3.2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de
acuerdo con la constitución y la ley, la cual debe ser informada al titular.
2.3.3. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o
divulgados sin previa autorización, o en ausencia de mandato legal o judicial que
releve el consentimiento.
2.3.4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
2.3.5. Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier
momento y sin restricciones, información acerca de la existencia de datos que le
conciernan.
2.3.6. Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley.
2.4. Responsable del tratamiento de la información
Razón social: SOLUFICORP S.A.S
NIT: 901.303.596-7
Domicilio principal: Bucaramanga
Dirección: CALLE 34 # 19-41 OFICINA 214
Líneas de servicio:
Bucaramanga (607) 688 47 86
2.5. Autorizaciones
El tratamiento de datos personales se refiere a cualquier operación o procedimiento físico o automatizado involucrado dentro del ciclo de vida del dato, en los que se incluyen actividades como captura, creación, uso, almacenamiento, custodia, mantenimiento, modificación, acceso, transmisión,
transferencia, disociación, supresión y eliminación.
2.5.1. Datos personales captados por el responsable: Los datos personales captados pueden incluir sin limitarse a datos de identificación, contacto, ubicación, financieros,
académicos, laborales, socioeconómicos, biométricos, imágenes, fotografías, salud,
entre otros, los cuales han sido suministrados directa o indirectamente por el titular
conforme a las finalidades identificadas y autorizadas para facilitar el intercambio de
prestaciones, bienes y servicios, así como con el fin de cumplir las obligaciones legales,
comerciales, civiles y laborales que se encuentren a cargo del responsable.
2.5.2. Transmisión y transferencia de información personal: El responsable del tratamiento, manifiesta que solo compartirá información personal con terceros, cuando el titular así lo autorice, otorgando su consentimiento para la transferencia o transmisión, cuando sea requerida por autoridad judicial, autorizada por la ley o cuando la misma sea
necesaria para garantizar la continuidad de su operación, como por ejemplo,
proveedores de servicios tecnológicos, de mensajería, de seguridad, entre otros,
independiente de que el proveedor del servicio se encuentre en países diferentes a
Colombia sin importar si cumplen o no los requisitos mínimos adecuados sobre
protección de datos personales establecidos por la ley para su tratamiento. No
obstante, esta situación, hay que mencionar que el responsable ha advertido a dichos
terceros sobre la necesidad de proteger la información personal con medidas de
seguridades apropiadas, que les prohíbe el uso de la información para fines propios y se
solicita que no se divulgue la información personal a otros terceros sin la debida
autorización.
2.5.3. Tratamiento de datos sensibles: Cuando el tratamiento de información involucre datos
de tipo sensible, es decir, datos que afectan la intimidad del titular o cuyo uso indebido
puede generar su discriminación, como aquellos que revelen información de salud
física y mental, vida sexual, datos biométricos, origen étnico, orientación política,
convicciones religiosas, afiliación sindical e intereses políticos, el responsable del
tratamiento garantiza que su tratamiento se efectuará conforme a las limitaciones
legales y asegurando que: (i) siempre se cuenta con la autorización previa, informada,
explícita y expresa para efectuar dicho tratamiento; (ii) que el titular haya sido
informado del carácter facultativo de la su autorización; (iii) no condicionará ninguna
actividad a solicitud de este tipo de datos y (iv) cuando su tratamiento esté
reglamentado explícitamente en la ley.
Cuando se requiera realizar tratamiento de datos personales de menores de edad y
adolescentes, siempre respetará sus derechos fundamentales y el interés superior de los
niños, niñas y adolescentes, respeto a sus derechos fundamentales y en la medida de
lo posible se realizará dicho tratamiento teniendo en cuenta su opinión considerando
su (i) madurez; (ii) autonomía; (iii) capacidad para entender la finalidad del
tratamiento; (iv) comprensión de las consecuencias que conlleva el tratamiento.
2.5.4. Tratamiento de datos en sistema de videovigilancia: El tratamiento de imágenes con
fines de seguridad y vigilancia tiene como objetivo garantizar la seguridad de los bienes
y personas que se encuentran en las instalaciones de SOLUFICORP. Las imágenes serán
captadas a través de sistemas de videovigilancia y se entenderá que la autorización
para dicha captación ha sido otorgada por el titular de información personal mediante
conducta inequívoca debido a que previamente se ha comunicado al ingresar a
SOLUFICORP. que sus imágenes serán tomadas, conservadas y usadas conforme a lo
establecido en el aviso de privacidad publicado y conociendo tal situación, el titular al
ingresar a SOLUFICORP se advierte que cualquier uso diferente será notificado de manera
previa al titular de datos personales.
2.5.5. Pertinencia y custodia de los datos personales captados: El responsable indica que el tratamiento de datos personales se efectuará durante el tiempo que sea pertinente,
necesario y razonable según las finalidades que justifican el tratamiento, atendiendo a
los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información,
por lo cual la información será conservada cuando así se requiera para el cumplimiento
de una obligación legal o contractual. Una vez cumplidas las finalidades del
tratamiento se procederá a la supresión de la información a menos que exista una
normatividad vigente que disponga lo contrario.
2.5.6. Métodos de Recolección y almacenamiento: SOLUFICORP establece los métodos de
recolección y almacenamiento que la entidad puede utilizar para el tratamiento de
datos personales, esto aplica para todas las partes interesadas a las que se refiere la
presente política. Métodos de recolección, Canales Digitales: Sitio WEB, aplicación móvil, correo electrónico, campañas, telefónicas, WhatsApp, otras herramientas de mensajería instantánea, además de los métodos descritos anteriormente, también podemos recopilar información a través de cookies, balizas web o tecnologías similares. Estos métodos nos permiten recoger diversos tipos de información, incluyendo las páginas que usted visita, los correos que le enviamos y lee, y otra información.
Canales Físicos: Oficinas: En la apertura o adquisición de un producto o servicio.
Fuerza Comercial: La cual está compuesta por los vendedores u asesores de las
diferentes líneas de producto y servicio que tiene la compañía, quienes recopilan la
información en formatos físicos o sistemas internos propios de la compañía o de
terceros. Formatos en general: Formatos o formularios (físicos o electrónicos) relacionados con las diferentes actividades de la compañía y con todos los actores de interés de la compañía. Eventos: Se obtiene información con ocasión del evento que realice la Compañía, por inscripción, aceptación de participación o asistencia.
Métodos de almacenamiento Digital: servidores, computadores, bases de datos, nubes públicas, privadas o mixtas, dispositivos de almacenamiento masivo, cintas, dispositivos móviles. Almacenamiento físico: Bodegas de archivo propias, bodegas de archivo de terceros, archivadores instalaciones propias.
2.6. Finalidades aplicables al tratamiento
El responsable del tratamiento, efectuará el tratamiento de datos personales para garantizar el desarrollo de su objeto social y al giro ordinario de sus actividades, considerando las finalidades de tratamiento de los datos personales específicas para cada uno de los grupos de interés involucrados en el tratamiento, tales como, ACCIONISTAS, MIEMBROS DE JUNTA DIRECTIVA, COLABORADORES,
PRACTICANTES Y APRENDICES, CANDIDATOS A UNA VACANTE, PROVEEDORES, PROSPECTOS COMERCIALES Y CLIENTES, advirtiendo que información personal que de estos reposen en sus bases de datos tendrán una vigencia igual al periodo en que se mantenga la finalidad del tratamiento en cada base de datos.
2.6.1. Finalidades del tratamiento de información personal de accionistas
El responsable informa a los accionistas de la entidad que el tratamiento de sus datos personales, relacionados con información de contacto, nombres, ocupación, tipo y número de identificación, teléfono celular y local, dirección de domicilio, correo electrónico, actividad económica, información financiera y tributaria, incluida información de cuenta bancaria e información SARLAFT, será tratada conforme a lo establecido en la normatividad vigente y las finalidades que aplican al tratamiento de
su información personal y establece lo siguiente:
a. Incluirlo en la base de datos y libro de registro de accionistas como accionista de la entidad.
b. Informar, organizar, controlar y acreditar las actividades pertinentes en su calidad de
accionista.
c. Permitir el ejercicio de los derechos y deberes como accionistas.
d. Efectuar el pago de dividendos conforme a su participación económica y accionaria.
e. Cumplir decisiones judiciales, administrativas y legales relacionadas con su calidad de
accionistas.
f. Realizar estudios estadísticos, y análisis de mercado.
g. Efectuar las verificaciones pertinentes dentro del programa de Administración de riesgos de Lavado de Activos y Financiación del Terrorismo.
h. Informar sobre cambios sustanciales en la política para el tratamiento y protección de datos personales.
i. Responder a las peticiones, consultas, reclamos y/o quejas que realicen los titulares de
información de tipo personal a través de cualquiera de los canales habilitados por el
responsable para dicho efecto.
2.6.2.Finalidades del tratamiento de información personal de miembros de Junta Directiva
El responsable informa a los miembros de junta directiva de la entidad que el tratamiento de sus datos personales, relacionados con información de contacto, nombres, ocupación, tipo y número de identificación, teléfono celular y local, dirección de domicilio, correo electrónico, actividad
económica, información financiera y tributaria, incluida información de cuenta bancaria e información SARLAFT, será tratada conforme a lo establecido en la normatividad vigente y las finalidades que aplican al tratamiento de su información personal son las siguientes:
a. Incluirlo en la base de datos como miembro de junta directiva de la entidad.
b. Informar, organizar, controlar y acreditar las actividades pertinentes en su calidad de
miembro de junta directiva.
c. Permitir el ejercicio de los derechos y deberes como miembro de junta directiva.
d. Efectuar el pago de honorarios.
e. Cumplir decisiones judiciales, administrativas y legales relacionadas con su calidad de
miembro de junta directiva.
f. Realizar estudios estadísticos, y análisis de mercado.
g. Efectuar las verificaciones pertinentes dentro del programa de Administración de riesgos de Lavado de Activos y Financiación del Terrorismo.
h. Informar sobre cambios sustanciales en la política para el tratamiento y protección de datos personales.
i. Responder a las peticiones, consultas, reclamos y/o quejas que realicen los titulares de
información de tipo personal a través de cualquiera de los canales habilitados por el
responsable para dicho efecto.
j. Transferir o transmitir la información personal a terceros, cuya gestión garantice el correcto funcionamiento de la operación del responsable, ya sea por una prestación de servicios como servicios de tecnología e infraestructura, entre otros, así se encuentren en países diferentes a Colombia sin importar si cumplen o no los requisitos mínimos adecuados sobre protección de datos personales establecidos por la ley colombiana para su tratamiento.
2.6.3.Finalidades aplicables a las relaciones con colaboradores, practicantes y aprendices
El responsable tratará la información personal de los colaboradores, directos e indirectos, practicantes, y aprendices, entendida como, nombres, tipo y número de identificación, teléfono celular y local, dirección de domicilio, correo electrónico, lugar y fecha de nacimiento, edad, sexo, estado civil, personas a cargo, nivel de estudio, ocupación y profesión, grupo sanguíneo;, Información médica, información financiera, información del núcleo familiar y/o personas dependientes, e información SARLAFT, de acuerdo con las siguientes finalidades:
a. Incluirlos en la base de datos de colaboradores (directos e indirectos), practicantes y
aprendices.
b. Incorporar sus datos personales en el contrato laboral, de aprendizaje o práctica, los
documentos que resulten necesarios para gestionar la relación laboral y obligaciones
derivadas de la misma que se encuentren a cargo del responsable.
c. Administrar los datos personales para cumplir con las obligaciones que se imponen al
responsable en su condición de empleador, entendidas como gestión de prestaciones
sociales, contribuciones, retenciones, impuestos, controversias laborales, así como adelantar las afiliaciones al sistema de seguridad social, fondos de pensiones, administradoras de riesgos laborales, cajas de compensación familiar y demás entidades en las que el empleado haya autorizado el tratamiento de su información previamente.
d. Utilizar los datos personales del titular y los de su núcleo familiar para realizar trámites de afiliación a las entidades promotoras de salud, cajas de compensación familiar,
administradoras de riesgo laboral, y demás necesarias para cumplir con su deber como
empleador.
e. Garantizar una correcta ejecución de lo establecido en el reglamento Interno de trabajo.
f. Gestionar sus datos personales para garantizar una correcta asignación de las herramientas de trabajo en las que se incluyen herramientas tecnológicas como correo electrónico, teléfono móvil, acceso a sistemas operativos, aplicaciones, entre otros.
g. Controlar y fiscalizar el desarrollo y rendimiento de las actividades laborales en el de trabajo asignado, a través del monitoreo y control de geolocalización e imágenes de
videovigilancia.
h. Efectuar el correspondiente pago de la nómina, incluida la realización de los descuentos para pagos a terceros que el titular previamente haya autorizado.
i. Responder solicitudes del titular sobre expedición de certificados, constancias y demás
documentos solicitados en virtud del vínculo laboral.
j. Archivar y custodiar de manera adecuada la información laboral activa e histórica de los
empleados.
k. Enviar comunicaciones internas relacionadas o no con su vinculación laboral.
l. Promover su participación en programas desarrollados para aumentar el bienestar y buen clima laboral.
m. Establecer y gestionar el proceso de reclutamiento, selección y contratación.
n. Gestionar pruebas psicotécnicas, de desempeño de competencias y habilidades, visitas
domiciliarias, evaluaciones psicosociales, pruebas de polígrafo y las que se consideren como pertinentes para adelantar el proceso de selección y la contratación de la persona como empleado del responsable.
o. Informar sobre cambios sustanciales en la política para el tratamiento y protección de datos personales.
p. Responder a las peticiones, consultas, reclamos y/o quejas que realicen los titulares de
información de tipo personal a través de cualquiera de los canales habilitados que el
responsable para dicho efecto.
q. Transferir o transmitir la información personal a terceros, cuya gestión garantice el correcto funcionamiento de la operación del responsable, ya sea por una prestación de servicios como servicios de tecnología e infraestructura, abogados laboralistas, entre otros, así se encuentren en países diferentes a Colombia sin importar si cumplen o no los requisitos mínimos adecuados sobre protección de datos personales establecidos por la ley colombiana para su tratamiento.
r. Para efectos del tratamiento de datos personales de los terceros que el colaborador
suministre, como beneficiarios, cónyuge, referencias personales y comerciales, el
responsable asume que el colaborador cuenta con la debida autorización de los titulares
para ser entregados y tratados de acuerdo con las finalidades contempladas en la presente política para el tratamiento y protección de datos personales.
2.6.4. Finalidades aplicables al tratamiento de datos de los candidatos a una vacante
Respecto de los candidatos a una vacante, el responsable informa que su información personal será tratada durante el proceso de reclutamiento y selección, para llevar a cabo pruebas de desempeño, competencias y habilidades, visitas domiciliarias, evaluaciones psicotécnicas, psicosociales, análisis de referencias, el análisis de historia laboral y las demás que se estimen necesarias para identificar la
conveniencia de la contratación. Su información se conservará en la base de datos denominada “candidatos”, que se encuentra en archivo físico y automatizado, por un periodo máximo de seis (6) meses y una vez finalizado este tiempo se procederá a destruir o eliminar la carpeta o archivo.
2.6.5. Finalidades aplicables al tratamiento de información personal de proveedores y/o aliados
estratégicos
Los datos personales de los proveedores, entendida como Información de contacto, nombres, ocupación tipo y número de identificación, teléfono celular y local, dirección de domicilio, correo electrónico, actividad económica, información financiera y tributaria, cuenta bancaria, operaciones internacionales, descripción de productos en moneda extranjera, referencias de clientes y personales,
información SARLAFT, se utilizarán de acuerdo con las finalidades que se relacionan a continuación:
a. Incluirlo en nuestra base de datos como proveedores y/o aliados estratégicos.
b. Incorporar sus datos personales en el contrato comercial, documentos que resulten
necesarios para gestionar la relación comercial y obligaciones derivadas de la misma que
se encuentren a cargo del responsable.
c. Administrar los datos personales para cumplir con las obligaciones que se imponen al
responsable en su condición de contratante.
d. Dentro del proceso de selección, se podrá revisar y evaluar aspectos financieros, técnicos, idoneidad y de cualquier otra índole que permita al responsable identificar la capacidad de cumplimiento del proveedor.
e. Efectuar pedidos y solicitudes de servicios y productos al proveedor.
f. Reportar información tributaria referente a las compras.
g. Desarrollar esquemas de ofertas y planes comerciales.
h. Gestionar los diferentes procesos de pagos facturas y cuentas de cobro.
i. Evaluar la prestación del servicio prestado y realizar estudios estadísticos y análisis de
mercado.
j. Brindar asistencia e información de interés general y comercial.
k. Utilizar, en el evento que sea necesario, los datos personales de los empleados y contratistas del proveedor con el fin de establecer controles de acceso a la infraestructura lógica o física del responsable.
l. Aportar información a las autoridades competentes y administrativas debido a sus funciones, cuando así lo soliciten y se encuentren legitimadas para acceder a la misma.
m. Informar sobre cambios sustanciales en la política para el tratamiento y protección de datos personales.
n. Responder a las peticiones, consultas, reclamos y/o quejas que realicen los titulares de
información de tipo personal a través de cualquiera de los canales habilitados que el
responsable para dicho efecto.
o. Transferir o transmitir la información personal a terceros, cuya gestión garantice el correcto funcionamiento de la operación del responsable, ya sea por una prestación de servicios como agencias de transporte, de aduanas, servicios de tecnología e infraestructura, abogados, entre otros, así se encuentren en países diferentes a Colombia sin importar si cumplen o no los requisitos mínimos adecuados sobre protección de datos personales establecidos por la ley colombiana para su tratamiento.
p. Para efectos del tratamiento de datos personales de los terceros que el proveedor suministre, ya sea de sus empleados o contratistas, el responsable asume que su proveedor cuenta con la debida autorización de los titulares para ser entregados y tratados de acuerdo con las finalidades contempladas en la presente política para el tratamiento y protección de datos
2.6.6. Finalidades aplicables al tratamiento de información personal de prospectos comerciales
y clientes
Los datos personales de los prospectos comerciales y clientes de SOLUFICORP dependerán de tipo de cliente involucrado, es decir, si es cliente de colocación o es cliente de captación. Los datos captados corresponden a: nombres, apellidos, tipo y número de identificación, teléfono celular y local, dirección de domicilio y correo electrónico, como lugar y fecha de nacimiento, edad, sexo, estado civil, personas a cargo, nivel de estudio, tipo de vivienda, ocupación y profesión, datos del cónyuge y beneficiarios (nombres, apellidos, tipo y número de identificación, dirección, teléfono celular y local), información financiera, tributaria y/o laboral, operaciones en el exterior referencias personales y familiares,
información SARLAFT, entre otros.
a. Registrarlo en la base de datos como prospecto comercial y cliente.
b. Verificar, validar, confirmar y actualizar la información e identidad del prospecto comercial y cliente.
c. Conocer el comportamiento financiero, comercial, crediticio, y nivel de endeudamiento del
prospecto comercial y cliente.
d. Establecer, mantener, actualizar y terminar una relación contractual, para la cual se
utilizarán sus datos para generar comunicaciones efectivas.
e. Efectuar una adecuada prestación de los servicios financieros de colocación, captación y gestión de cobro. La gestión de cobro y recuperación de cartera se podrá efectuar
directamente por la entidad o a través de un tercero contratado para tal función, razón por
la cual, el cliente aprueba que su información personal sea compartida con el mencionado
tercero.
f. Establecer un canal de comunicación efectiva con el prospecto comercial y cliente, cuyo
contacto puede efectuarse a través de llamada telefónica, mensaje de texto, correo
electrónico, redes sociales, aplicaciones de mensajería instantánea (WhatsApp, entre otras), correspondencia física, entre otros.
g. Grabar llamadas telefónicas, guardar las comunicaciones y en general, dejar constancia de los mensajes que se intercambien en desarrollo del contrato.
h. Efectuar estudios estadístico y análisis de mercado.
i. Destruir los documentos entregados en caso de que la solicitud de financiación sea negada o en caso de que sea aprobada y no aceptada.
j. Informar sobre el estado de los servicios contratados, modificaciones, novedades y
realización de encuestas de satisfacción del servicio.
k. Responder a solicitudes o requerimientos de información de nuestros productos y servicios.
l. Realizar análisis estadísticos de tendencias, hábitos de consumo y comportamientos del
consumidor.
m. Gestionar actividades de servicio al cliente y postventa.
n. Ofrecer los productos o servicios de la entidad, así como los servicios y productos de las entidades con las cuales cuenten con una alianza vigente, a través de cualquier medio
conocido o por conocerse, ya sea directamente o a través de un tercero encargado para
tal efecto. o. Informar sobre cambios sustanciales en la política para el tratamiento y protección de datos personales.
p. Responder a las peticiones, consultas, reclamos y/o quejas que realicen los titulares de
información de tipo personal a través de cualquiera de los canales habilitados que el
responsable para dicho efecto.
q. Transferir o transmitir la información personal a terceros, cuya gestión garantice el correcto funcionamiento de la operación del responsable, ya sea por una prestación de servicios como agencias de transporte, servicios de tecnología e infraestructura, abogados, entre otros, así se encuentren en países diferentes a Colombia sin importar si cumplen o no los requisitos mínimos adecuados sobre protección de datos personales establecidos por la ley colombiana para su tratamiento.
r. El responsable entiende que los datos personales de los terceros, tanto como beneficiarios, cónyuge, referencias personales y familiares, que el cliente y prospecto comercial suministre cuentan con la autorización de los titulares para ser entregados y tratados de acuerdo con las finalidades contempladas en la presente política para el tratamiento y protección de datos personales.
s. La recolección de datos biométricos por SOLUFICORP S.A. tendrán las siguientes finalidades: Datos Biométricos: Son los datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única. La aceptación y autorización del tratamiento de datos Biométricos que solicitamos comprende el consentimiento informado no solo acerca del uso del dato biométrico, sino sobre las finalidades que éste incluye:
Recolección, captación, grabación, transmisión, almacenamiento, conservación o
reproducción en tiempo real o posterior, depuración, uso, análisis, circulación, actualización, cruce y eliminación, entre otros, de los datos biométricos facilitados por cualquier medio.
Los datos biométricos tendrán como finalidad:
• Realizar procesos de identificación y autenticación de las personas.
• Realizar procesos de vinculación no presenciales por medios digitales
• Ser usador por herramientas y sistemas de información para identificar una persona,
dar o negar accesos.
• Reconocer a un individuo con base en sus características físicas o de
comportamiento.
• Controlar y prevenir fraude.
• Finalidades del tratamiento de datos personales enunciados del numeral a. al r.
2.7. Derechos del Titular
Los titulares de información personal podrán ejercer el derecho de Habeas Data ante el responsable de tratamiento, es decir, podrán acceder, conocer, rectificar u oponerse al tratamiento de sus datos personales, razón por la cual procedemos a describir el contenido y detalle de cada uno de los derechos.
a. Derecho de Conocimiento: El titular de información tiene derecho de conocer si sus datos personales han sido sometidos a cualquier forma de tratamiento y podrá ejercer el derecho de conocer el origen de sus datos, forma de autorización y si los mismos han sido transmitidos
o transferidos a terceros, así como a conocer la identificación de esos terceros.
b. Derecho de Actualización: El titular de información tiene el derecho de actualizar la
información conservada.
c. Derechos de Rectificación: El titular de información podrá comprobar frente al responsable del tratamiento de la información la exactitud y veracidad, y ante alguna discrepancia, por ser inexactos, incompletos o errados, podrá solicitar la rectificación de su información personal.
d. Derecho de Oposición: El titular de la información personal podrá oponerse al tratamiento de su información personal, cuando su uso resulte excesivo o inadecuado, para lo cual deberá indicar los datos que se deben cancelar, con el objetivo de generar un bloqueo de sus datos o cancelación definitiva del dato o cese del tratamiento del uso no autorizado. Los datos podrán ser conservados durante los tiempos previstos en la normatividad aplicable y la misma no podrá ser suprimida complemente cuando el titular tenga el deber legal o contractual de permanecer en la base de datos del responsable del tratamiento.
2.8. Deberes de SOLUFICORP en el tratamiento y protección de datos personales
SOLUFICORP tiene presente, en todo momento, que los datos personales son propiedad de los Titulares a los que se refieren y que solo ellos pueden decidir sobre los mismos. En este sentido, hace uso de ello sólo para aquellas finalidades que se encuentra facultado y respetando en todo caso las disposiciones de la Ley 1581 de 2012 sobre protección de datos personales y demás normas que la modifiquen, aclaren
y/o adicionen. SOLUFICORP, se compromete a cumplir de forma permanente con los siguientes deberes como responsable y encargado del tratamiento de los datos:
En calidad de responsable:
2.8.1. Garantizar al titular de la información, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
2.8.2. Informar oportuna y debidamente al Titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada.
2.8.3. Garantizar que la información que se suministre al (los) encargado (s) del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
2.8.4. Adoptar un manual interno de políticas y procedimientos en el tratamiento de los datos personales para asegurar el cumplimiento de la ley y el ejercicio de los derechos del
titular.
2.8.5. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
2.8.6. Conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el titular.
2.8.7. Realizar oportunamente la actualización, rectificación o supresión de los datos, cuando sea necesario.
2.8.8. Suministrar a él(los) encargado (s) del tratamiento únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
2.8.9. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
2.8.10. Informar al encargado del tratamiento y al operador de información, cuando
determinada información se encuentra en discusión por parte del Titular, una vez se
haya presentado la reclamación y no haya finalizado el trámite respectivo.
2.8.11. Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los titulares.
2.8.12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
En calidad de encargado:
2.8.13. Abstenerse de circular información que este siendo controvertida por el titular de la
información y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria
y Comercio.
2.8.14. Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella.
2.8.15. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
hábeas data.
2.8.16. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
2.8.17. Tramitar las consultas y los reclamos formulados por los titulares en los términos
señalados en la ley.
2.8.18. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de ley.
2.9. Procedimientos para efectuar consultas y/o reclamos
El titular de información podrá ejercer sus derechos en todo momento para garantizar su derecho de acceso, rectificación, supresión y prueba de autorización ante el responsable a través de los canales habilitados que a continuación se enuncian.
Para el ejercicio de su derecho, debe tener en cuenta que el mismo lo podrá ejercer a nombre propio, a través de apoderado, y cuando se trata de menores de edad, por quien acredite su representación legal legítima. Cuando el ejercicio del derecho se efectúe a través de apoderado, el apoderado del
titular de la información personal debe adjuntar copia del poder como documento idóneo para presentar la solicitud, de lo contrario, se entenderá dicha solicitud como no presentada. Dentro del ejercicio de sus derechos, podrá presentar una consulta o un reclamo, y cada una de estas solicitudes cuenta con un procedimiento particular, los cuales se describen a continuación:
2.9.1.Consultas
a. Procedibilidad: Cuando el titular de información personal requiera conocer la
información de tipo personal que de él reposa o esté vinculada en las bases de datos
de propiedad del responsable, desee conocer el origen de los datos, conocer cualquier
otro dato personal suyo que haya sido obtenido mediante cualquier tipo de
procedimiento, operación o tratamiento, conocer a quienes se han transmitido y/o
transferido sus datos de carácter personal o a quien se pretende comunicar los mismos.
b. Tiempo de atención: La consulta será atendida en un término máximo de diez (10) días
hábiles contados a partir de la fecha de recibo de la solicitud.
c. Prórroga: En caso de no ser posible atender la consulta dentro de dicho término, se
informará al interesado, expresando los motivos de la demora y señalando la fecha en
que se atenderá su consulta, que en ningún caso podrá superar los cinco (5) días hábiles
siguientes al vencimiento del primer término, sin perjuicio de las disposiciones contenidas
en leyes especiales o reglamentos expedidos por el Gobierno Nacional que podrán
establecer términos inferiores, atendiendo a la naturaleza del dato personal.
d. Información por suministrar: Cuando los titulares de datos personales realicen una
consulta sobre su información de tipo personal, el responsable, en su calidad de
responsable o encargada del tratamiento de sus datos personales, suministrará toda la
información contenida en el registro individual o que esté vinculada al titular de la
información.
2.9.2.Reclamos
a. Procedibilidad: Los reclamos se presentan cuando el titular de datos personales
considera que la información contenida en una base de datos propiedad del
responsable debe ser objeto de corrección, actualización o supresión, o cuando
advierta el presunto incumplimiento de cualquiera de los deberes contenidos en ley 1581
de 2012.
b. Tiempo de atención: El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere
posible atender el reclamo dentro de dicho término, se informará al interesado los
motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso
podrá superar los ocho días hábiles siguientes al vencimiento del primer término.
c. Reclamo con información incompleta: Si el reclamo resulta incompleto, se requerirá al
interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que
subsane las fallas.
d. Desistimiento del reclamo por parte del interesado: Si el reclamo se ha presentado de
forma incompleta y se notificó oportunamente para que se subsanara el error y el
solicitante no ha dado respuesta dentro de los dos (2) meses desde la fecha del
requerimiento, se entenderá que ha desistido del reclamo.
e. Identificación del trámite en la base de datos: Una vez recibido el reclamo completo, en
un término no mayor a dos (2) días hábiles se incluirá en la base de datos de propiedad
del responsable una leyenda que diga "reclamo en trámite" y el motivo de este. Dicha
leyenda deberá mantenerse hasta que el reclamo sea decidido.
f. Competencia para responder: En el evento en que el responsable reciba un reclamo por
parte de un titular de información y no sea competente para resolverlo, dará traslado a
quien corresponda en un término máximo de dos (2) días hábiles e informará la situación
al interesado.
2.10. Canales habilitados al Titular
Cuando el titular considere que la información contenida en la base de datos debe ser
objeto de corrección, actualización o supresión, o cuando adviertan el presunto
incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán
ejercer sus derechos y presentar consulta o reclamo ante SOLUFICORP a través de la página
web: https://www.donflash.com./ link contáctenos, escribirnos al correo electrónico
pqrs@donflash.com, la línea de atención (607) 688 47 86 en Bucaramanga o los medios que le sean posteriormente informados.
2.11. Área responsable de la atención de peticiones, consultas y reclamos de titulares
Para los afectos aquí estipulados, se tendrá como responsable de recibir y atender las peticiones, consultas y reclamos de los Titulares de la información, al área de Servicio al Cliente de SOLUFICORP, ante quien el titular podrá ejercer sus derechos de conocer, actualizar, rectificar, y suprimir datos personales.
2.12. Modificación y/o actualización de la política para el tratamiento y protección de datos
personales
Cualquier cambio esencial en la política, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través de nuestra página
https://www.donflash.com.
2.13. Seguridad de la información personal
SOLUFICORP ha incorporado diferentes niveles de seguridad adecuados con el fin proteger los datos personales de todos los titulares frente a posibles pérdidas accidentales y accesos, tratamientos o
modificaciones no autorizadas, lo anterior de acuerdo con el estado de la tecnología, el tipo y naturaleza de los datos que se encuentran en nuestras bases de datos y los riesgos a que están expuestos. Así mismo se asegura que los terceros involucrados en su operación realicen el tratamiento
de la información en reserva y confidencialidad, comprometiéndose a guardar el debido secreto respecto de estos y garantizando el deber de almacenarlos adoptando medidas necesarias que eviten su alteración, pérdida y tratamiento o acceso no autorizado de acuerdo con lo establecido en la legislación aplicable.
2.14. Vigencia
El presente manual empieza a regir en los términos de la Ley 1581 de 2012. La vigencia de las bases de
datos aquí mencionados y de los correspondientes datos personales se mantendrá de acuerdo con los
términos contractuales o con los términos de ley sobre conservación de documentos.
3. Documentos de consulta
a. Ley 1581 de 2012
b. Decreto 1377 de 201