Fintech Solutions Colombia S.A.S., en adelante LA ENTIDAD, en su calidad de Responsable del Tratamiento de Datos Personales, y en cumplimiento de lo dispuesto en la Ley 1581 de 2012, “por la cual se dictan disposiciones generales para la protección de datos personales”, y el Decreto 1377 de 2013, “por el cual se reglamenta parcialmente la Ley 1581 de 2012”, adopta y desarrolla la presente Política de Tratamiento de Datos Personales, con el propósito de establecer los lineamientos, principios, procedimientos y responsabilidades que rigen la recolección, almacenamiento, uso, circulación, transmisión, transferencia y supresión de los datos personales bajo su custodia.

Esta Política tiene como objetivo garantizar la protección de los derechos fundamentales a la intimidad, buen nombre y autodeterminación informativa de los Titulares de los datos personales, asegurando que su tratamiento se realice conforme a los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y seguridad.

La presente Política de Tratamiento de Datos Personales aplica a toda la información personal registrada en las bases de datos administradas por Fintech Solutions Colombia S.A.S., en adelante LA ENTIDAD, quien actúa en calidad de responsable del Tratamiento.

Sus disposiciones son de obligatorio cumplimiento para todos los empleados, contratistas, aliados estratégicos, proveedores y terceros que, en el ejercicio de sus funciones o actividades, tengan acceso o realicen cualquier tipo de tratamiento sobre datos personales por cuenta de LA ENTIDAD.

Esta Política abarca todas las actividades relacionadas con la recolección, almacenamiento, uso, circulación, transmisión, transferencia, actualización y supresión de datos personales, y se aplica tanto a la información obtenida de manera física como digital, a través de medios electrónicos, portales web, aplicativos, canales de atención o cualquier otro mecanismo legítimo utilizado por LA ENTIDADpara la gestión de su operación y prestación de servicios.

El propósito de la presente Política de Tratamiento de Datos Personales es establecer los lineamientos, principios y procedimientos que garanticen la adecuada gestión y protección de la información personal tratada por Fintech Solutions Colombia S.A.S.

Mediante esta Política, LA ENTIDAD busca asegurar que el tratamiento de los datos personales de sus clientes, usuarios, empleados, proveedores, aliados comerciales y demás grupos de interés se realice de manera segura, transparente y conforme a la normativa vigente, salvaguardando los derechos fundamentales a la intimidad, buen nombre y autodeterminación informativa de los Titulares.

Asimismo, esta Política tiene como finalidad definir las responsabilidades internas de las áreas y colaboradores que intervienen en el tratamiento de datos personales, garantizando la observancia de los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso, seguridad y confidencialidad, establecidos por la ley.

La presente Política de Tratamiento de Datos Personales aplica a toda la información personal contenida en las bases de datos administradas por Fintech Solutions Colombia S.A.S., en adelante LA ENTIDAD, en su calidad de Responsable del Tratamiento.

Su alcance comprende todas las operaciones y actividades relacionadas con la recolección, almacenamiento, uso, circulación, transmisión, transferencia, actualización, conservación y eliminación de los datos personales, cualquiera sea el medio o soporte utilizado (físico, digital, electrónico o mixto).

Esta Política es de cumplimiento obligatorio para todos los colaboradores, contratistas, proveedores, aliados estratégicos y terceros que, en el marco de sus funciones o vínculos contractuales con LA ENTIDAD, tengan acceso o realicen tratamiento de datos personales.

Asimismo, se aplica a todas las bases de datos propias o administradas por encargo, y abarca los procedimientos técnicos, administrativos y organizacionales implementados por LA ENTIDAD para garantizar el cumplimiento de los principios y obligaciones establecidos en la legislación vigente sobre protección de datos personales.

La presente Política de Tratamiento de Datos Personales es de cumplimiento obligatorio y estricto para Fintech Solutions Colombia S.A.S., en adelante LA ENTIDAD, así como para todos sus colaboradores, contratistas, proveedores, aliados estratégicos y terceros que, en el desarrollo de sus funciones o actividades, tengan acceso o realicen cualquier tipo de tratamiento de datos personales por cuenta de LA ENTIDAD.

El cumplimiento de esta Política constituye una obligación legal, ética y corporativa, cuyo propósito es garantizar la adecuada protección de los datos personales y el respeto de los derechos de sus Titulares, conforme a lo establecido en la Ley 1581 de 2012, el Decreto 1074 de 2015 y las demás disposiciones aplicables.

Fintech Solutions Colombia S.A.S., sociedad comercial legalmente constituida, identificada con el NIT 901455665, con domicilio principal en la Carrera 43 # 9 SUR 195, OFICINA No. 1239, SQUARE TRADE AND HOME, Medellín - Colombia, sitio web: https://doctorpeso.co/

La autorización para el tratamiento de datos personales también podrá obtenerse a través de conductas inequívocas del Titular, que permitan concluir de manera razonable que este ha otorgado su consentimiento para dicho tratamiento.

Estas conductas deberán reflejar de forma clara, expresa e indudable la voluntad del Titular de permitir el uso de su información personal, aun cuando no exista un documento físico, electrónico o mecanismo escrito que lo evidencie.

En todo caso, LA ENTIDAD garantizará que tales manifestaciones sean verificables y que el consentimiento otorgado cumpla con los principios de libertad, finalidad, transparencia y consentimiento informado, conforme a lo establecido en la normativa vigente sobre protección de datos personales.

La autorización también podrá obtenerse a partir de conductas inequívocas del titular del dato, las cuales permitan concluir de manera razonable que otorgó su consentimiento para el tratamiento de su información. Dichas conductas deben exteriorizar de manera clara la voluntad de autorizar el tratamiento.

LA ENTIDAD realizará el tratamiento (recolección, almacenamiento, uso, entre otros) de los datos personales de acuerdo con lo establecido por la ley y los mandatos judiciales o administrativos, así como por lo dispuesto en las autorizaciones cuando corresponda para cumplir en especial las actividades propias de su función.

El tratamiento de los datos personales se podrá realizar a través de medios físicos, automatizados o digitales de acuerdo con el tipo y forma de recolección de la información personal.

LA ENTIDAD realizará el tratamiento de los datos personales en cumplimiento de sus funciones legales o judiciales y de acuerdo con las finalidades establecidas en las autorizaciones respectivas cuando corresponda. De manera particular paralas siguientes finalidades:

1. Llevar a cabo las gestiones necesarias tendientes a confirmar y actualizar la información del Titular.
2. Contactar al Titular a través de correo electrónico, mensajes de texto, llamadas, redes sociales o cualquier otra plataforma similar, para establecer comunicación con este.
3. Validar y verificar la identidad del Titular para administrar y ofrecer productos y servicios, así mismo para compartir la información con diversos actores del mercado a través de cualquier medio o canal de acuerdo con el perfil del Titular.
4. Establecer, mantener y terminar relaciones contractuales con el Titular.
5. Conocer el comportamiento financiero, comercial, crediticio y el cumplimiento de las obligaciones legales del Titular.
6. Consultar y cotejar la información de los Titulares con la almacenada en las diferentes bases de datos de autoridades, entidades estatales y terceros como, por ejemplo: operadores de información, entidades del Sistema de Seguridad Social, Registraduría Nacional del Estado Civil, Banco de Datos, entre otras entidades afines.
7. Recibir información respecto a campañas comerciales actuales y futuras, promoción de productos y servicios tanto propios como de terceros, educación financiera y sobre las innovaciones efectuadas sobre productos o servicios; y demás comunicaciones necesarias para mantener informado y enterado al Titular mediante: llamada telefónica, mensaje de texto, correo electrónico, o cualquier red social de integración o mensajería instantánea, entre otros; así como efectuar análisis e investigaciones comerciales, estadísticas, de riesgos, de mercado, interbancaria y financiera incluyendo contactar al Titular para estos fines.
8. Recibir comunicaciones por los diferentes canales de contacto (mensaje de texto, llamada telefónica, correo electrónico o WhatsApp), con el propósito de efectuar gestiones de cobro y recuperación de cartera, ya sea directamente por la entidad o a través de un tercero debidamente autorizado para tal función (cuando aplique).
9. Suministrar información legal, de seguridad, de servicio o de cualquier otra índole.
10. Conocer la ubicación y datos de contacto del Titular para efectos de notificaciones con fines de seguridad y ofrecimiento de beneficios y ofertas comerciales.
11. Prevenir el lavado de activos, la financiación del terrorismo, detectar el fraude, corrupción, y otras actividades contrarias a la ley, así como transferir datos personales fuera del país para cumplir con las regulaciones antilavado de activos que le aplican.
12. Realizar consultas acerca de multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza.
13. Gestionar trámites como solicitudes, quejas y reclamos, así como cualquier gestión que pretenda adelantar el Titular.
14. Transmitir y transferir los datos personales dentro y fuera del país a terceros con los cuales LA ENTIDAD haya suscrito cualquier tipo de contrato o convenio y sea necesario entregarlos para el cumplimiento del objeto contractual, así como transmitir los datos personales cuando sean necesarios para adelantar procesos de gestión de riesgos y demás seguridades requeridas por LA ENTIDAD.
15. Custodiar de manera adecuada y suficiente la información recolectada de los Titulares, a través de plataformas tecnológicas que generen mecanismos de seguridad confiables, con la finalidad de acceder a los datos mediante roles y perfiles de acceso previamente definidos.
16. Controlar el acceso a las oficinas y establecer medidas de seguridad, incluyendo el establecimiento de zonas videovigiladas.
17. Dar respuesta a consultas y requerimientos efectuados por los organismos judiciales, administrativos y de control, así como transmitir y transferir los datos a personas jurídicas y/o naturales que en virtud de la ley aplicable deban recibir los mismos.
18. Determinar las obligaciones pendientes con LA ENTIDAD por parte de los Titulares, consultar su información financiera e historia crediticia y reportar a centrales de información sus obligaciones incumplidas. (En caso de que aplique).
19. Permitir la utilización de los distintos servicios a través de los sitios web de LA ENTIDAD, incluyendo descargas de contenidos y formatos, así como el procesamiento de información.
20. Compartir información de los Titulares con entidades con las cuales LA ENTIDAD tenga contratadas pólizas de seguro o fianzas con ocasión a los contratos celebrados con los Titulares.
21. Dar cumplimiento a las obligaciones contraídas por LA ENTIDAD con el Titular de la Información en relación con el pago de salarios, prestaciones sociales y demás retribuciones consagradas en el contrato de trabajo o según lo disponga la ley. (Aplica solo para Empleados).
22. Informar las modificaciones que se presenten en desarrollo del contrato de trabajo al Empleado Titular de la Información. (Aplica solo para Empleados).
23. Evaluar la calidad de los servicios ofrecidos por el Empleado Titular de la Información. (Aplica solo para Empleados).
24. Tratar información de aspirantes o candidatos dentro de LA ENTIDAD, con la finalidad de realizar procesos de selección y evaluación del aspirante, así como su eventual vinculación a la Entidad. (Aplica solo para aspirantes o candidatos).
25. Realizar las actividades de manejo integral del libro de registro de accionistas. (Aplica solo para accionistas).
26. Cualquier otra actividad o proceso de naturaleza similar a las anteriormente señaladas y que sean necesarias para permitir el desarrollo del objeto social de LA ENTIDAD.

LA ENTIDAD reconoce la especial protección que merece la información clasificada como dato sensible y garantiza su tratamiento conforme a los principios de confidencialidad, seguridad y finalidad establecidos en la normativa vigente sobre protección de datos personales.

El Titular tiene derecho a no suministrar información sensible que eventualmente le sea solicitada. Se consideran datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, tales como: información sobre su origen racial o étnico, orientación política, creencias religiosas o filosóficas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos relativos a la salud, vida sexual o datos biométricos (huella dactilar, reconocimiento facial, voz, iris, entre otros).

En todo caso, el suministro de este tipo de información será facultativo para el Titular, salvo cuando exista mandato legal o requerimiento expreso de autoridad administrativa o judicial competente.

Los datos sensibles que eventualmente sean recolectados por LA ENTIDAD serán tratados bajo los más altos estándares de seguridad y confidencialidad, y únicamente para las siguientes finalidades:

1. Identificar, autenticar y validar la identidad del Titular mediante mecanismos de verificación biométrica (huella, iris, reconocimiento facial, voz u otros), con el propósito de garantizar la seguridad en los procesos, prevenir fraudes y proteger la integridad de la información.
2. Incorporar y almacenar dichos datos en medios de verificación seguros, tales como códigos QR, códigos de barras o equivalentes, para facilitar los procesos de control, validación y autenticación por parte de LA ENTIDAD y/o sus proveedores autorizados, en el marco de las funciones legalmente permitidas.

En cumplimiento de lo dispuesto por la Ley 1581 de 2012, el Decreto 1074 de 2015 y las normas que las modifiquen, adicionen o complementen, LA ENTIDAD garantiza a todos los Titulares de información personal el ejercicio pleno y efectivo de sus derechos frente al Tratamiento de sus datos personales.

El Titular podrá, en cualquier momento, ejercer los siguientes derechos, de manera gratuita, transparente y segura:

1. Conocer, actualizar, rectificar y verificar la información personal que repose en las bases de datos de LA ENTIDAD. Este derecho podrá ejercerse, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o cuyo tratamiento esté prohibido o no haya sido previamente autorizado por el Titular.
2. Solicitar prueba de la autorización otorgada a LA ENTIDAD para el Tratamiento de sus datos personales, salvo cuando expresamente se exceptúe este requisito, conforme a lo previsto en el artículo 10 de la Ley 1581 de 2012.
3. Ser informado por LA ENTIDAD, previa solicitud, respecto del uso, finalidad y tratamiento que se ha dado a los datos personales del Titular.
4. Presentar quejas o reclamos ante la Superintendencia de Industria y Comercio (SIC) por presuntas infracciones a las disposiciones contenidas en la Ley 1581 de 2012, el Decreto 1074 de 2015 o las demás normas que regulen la materia.
5. Revocar total o parcialmente la autorización otorgada para el tratamiento de los datos personales y/o solicitar la supresión de la información, cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria o supresión procederá cuando la SIC determine que LA ENTIDAD ha incurrido en conductas contrarias a la ley o la Constitución.
6. Acceder de manera gratuita y en cualquier momento a sus datos personales que hayan sido objeto de tratamiento por parte de LA ENTIDAD. La información podrá ser suministrada a través de medios físicos o electrónicos, garantizando siempre la autenticidad, integridad y trazabilidad de la solicitud.
7. Presentar consultas y reclamos relacionados con la actualización, rectificación, supresión o revocatoria de sus datos personales, a través de los canales dispuestos por LA ENTIDAD para la atención de Titulares, garantizando respuesta dentro de los plazos establecidos en la normatividad vigente.
8. Ser informado sobre cambios sustanciales en las políticas de tratamiento de datos personales, de manera oportuna y eficiente, conforme a los mecanismos definidos por LA ENTIDAD.

Los anteriores derechos se entienden, sin perjuicio de las obligaciones legales, administrativas, de seguridad y diligencia que LA ENTIDAD debe tener en ejecución.

Con el propósito de garantizar el ejercicio efectivo de los derechos de los Titulares, LA ENTIDAD dispone de canales accesibles, seguros y gratuitos para la presentación de consultas, reclamos, solicitudes de actualización, rectificación, supresión de datos o revocatoria de la autorización.

Los Titulares o sus causahabientes podrán ejercer sus derechos a través de los siguientes medios:

• Correo electrónico: oficial.cumplimiento@doctorpeso.com
• Página web oficial: https://doctorpeso.co/
• Dirección física: Carrera 43 9 SUR 195, OFICINA No. 1239, SQUARE TRADE AND HOME, MEDELLIN

Las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la solicitud. Cuando no sea posible atender la consulta dentro de dicho plazo, se informará al Titular los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del término inicial.

Cuando el Titular considere que la información contenida en una base de datos debe ser corregida, actualizada, suprimida o que se ha incumplido alguno de los deberes establecidos por la ley, podrá presentar un reclamo que será tramitado conforme a los siguientes pasos:

1. El reclamo deberá formularse mediante solicitud dirigida a LA ENTIDAD, identificando el nombre del Titular, el número de identificación, la descripción de los hechos que dan lugar al reclamo, la dirección de notificación y los documentos que se pretendan hacer valer.
2. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las falencias.
3. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que indique “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles.
4. El reclamo será atendido en un plazo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo completo.
5. En caso de no ser posible atenderlo dentro de dicho término, se informará al Titular los motivos de la demora y la fecha estimada de respuesta, la cual no podrá superar los ocho (8) días hábiles adicionales.

El Oficial de Protección de Datos Personales o el área designada por LA ENTIDAD será responsable de la atención, trámite y seguimiento de todas las solicitudes relacionadas con el ejercicio de los derechos del Titular, asegurando el cumplimiento de los plazos y procedimientos previstos en la normativa aplicable.

De conformidad con lo dispuesto en la Ley 1581 de 2012, el Decreto 1074 de 2015 y las directrices de la Superintendencia de Industria y Comercio (SIC), LA ENTIDAD, en su calidad de Responsable del Tratamiento de Datos Personales, asume los siguientes deberes y obligaciones:

1. Garantizar al Titular, en todo momento, el pleno y efectivo ejercicio del derecho fundamental de hábeas data, asegurando el acceso, conocimiento, actualización, rectificación y supresión de su información personal.
2. Solicitar y conservar, en las condiciones previstas en la ley, la autorización expresa, previa e informada del Titular, o la evidencia del mecanismo mediante el cual se obtuvo.
3. Informar de manera clara y suficiente al Titular sobre la finalidad del tratamiento, los derechos que le asisten y los canales disponibles para ejercerlos.
4. Implementar medidas técnicas, humanas y administrativas de seguridad para proteger la información personal bajo su custodia y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información suministrada al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible, de manera que refleje la realidad del Titular.
6. Actualizar oportunamente la información, comunicando al Encargado del Tratamiento todas las novedades que se presenten respecto de los datos suministrados, y adoptar las medidas necesarias para mantener la integridad y actualidad de la información.
7. Rectificar y comunicar al Encargado del Tratamiento las correcciones o ajustes cuando se identifiquen datos inexactos o incompletos.
8. Suministrar al Encargado del Tratamiento únicamente datos personales cuyo tratamiento haya sido debidamente autorizado conforme a la ley.
9. Exigir al Encargado del Tratamiento el cumplimiento permanente de las condiciones de seguridad, confidencialidad y privacidad en la administración de la información personal.
10. Atender y tramitar las consultas, reclamos o solicitudes presentadas por los Titulares dentro de los términos y procedimientos establecidos por la normativa aplicable.
11. Adoptar políticas internas, procedimientos y manuales que aseguren el cumplimiento integral de las normas de protección de datos personales y la adecuada gestión de consultas, reclamos y solicitudes.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez presentada la solicitud y mientras se mantenga el trámite respectivo.
13. Responder al Titular, previa solicitud, sobre el uso, finalidad y tratamiento que se ha dado a su información personal.
14. Notificar a la Superintendencia de Industria y Comercio sobre incidentes de seguridad o violaciones que puedan poner en riesgo la administración, confidencialidad o integridad de los datos personales.
15. Cumplir las instrucciones, requerimientos y directrices impartidas por la autoridad de control competente, en relación con la protección y tratamiento de los datos personales.

LA ENTIDAD reconoce que los niños, niñas y adolescentes (NNA) son titulares de derechos fundamentales y, por tanto, su información personal merece especial protección. En consecuencia, el tratamiento de sus datos se realizará siempre respetando su interés superior, su derecho a la protección integral y el principio de prevalencia de sus derechos fundamentales sobre los derechos de los demás.

El tratamiento de datos personales de menores de edad solo se efectuará cuando:

1. Responda y respete el interés superior de los NNA, conforme a los principios constitucionales y a las normas de protección de la infancia y la adolescencia.
2. Se cuente con la autorización expresa, previa e informada de los padres, representantes legales o tutores debidamente facultados para actuar en nombre del menor.
3. Se garantice el ejercicio del derecho a ser escuchado, permitiendo que los NNA expresen su opinión sobre el tratamiento de sus datos, en función de su edad, madurez, autonomía y capacidad de comprensión del tema.
4. El tratamiento tenga una finalidad legítima y proporcional, estrictamente vinculada a la relación que mantiene el NNA con LA ENTIDAD, y que no vulnere sus derechos fundamentales.

LA ENTIDAD adoptará las medidas administrativas, técnicas y jurídicas necesarias para asegurar la confidencialidad y seguridad de la información de los menores, evitando su acceso, uso o divulgación no autorizada.

En ningún caso se llevará a cabo el tratamiento de datos personales de menores de edad con fines comerciales, publicitarios o de mercadeo.

Para realizar consultas sobre la información personal que reposa del Titular en las bases de datos de LA ENTIDAD o solicitudes encaminadas a corregir, actualizar, rectificar, suprimir o revocar la autorización, LA ENTIDAD cuenta con canales de gestión de sus requerimientos o trámites en materia de protección de datos personales.

Para la radicación y atención de la solicitud del Titular, se solicita suministrar la siguiente información:

• Nombre completo y apellidos.
• Datos de contacto (dirección física y/o electrónica y teléfonos de contacto).
• Medios para recibir respuesta a la solicitud.
• Motivo(s) o hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información).

Toda solicitud recibida fuera del horario establecido para la atención al público se entenderá recibida el día hábil siguiente.

Las consultas se absolverán en un término máximo de diez (10) días hábiles, contados a partir del día siguiente de la fecha de su recepción. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que será atendida, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

El Titular cuenta con canales de atención presencial, virtual y telefónico por los cuales los Titulares obtienen información completa, clara y precisa sobre las condiciones de tiempo, modo y lugar en que se atenderán o gestionarán sus requerimientos o trámites.

El Titular de datos personales tiene derecho en todo momento a solicitar a LA ENTIDAD, la revocatoria y/o supresión (eliminación) de sus datos personales, siempre y cuando no se trate de datos utilizados para las actividades propias de la misión de LA ENTIDAD, los cuales se regirán por la normativa especial. El derecho de supresión no es un derecho absoluto por lo que LA ENTIDAD como responsable del tratamiento de datos personales puede negar o limitar el ejercicio de este cuando:

1. El Titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
2. La eliminación de datos obstaculiza actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
3. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
4. Los datos sean datos utilizados en las actividades de la misión de LA ENTIDAD.
5. No obstante, lo anterior, se garantizará que los datos se utilicen exclusivamente para el fin solicitado y se dé a la información la reserva correspondiente.
6. La revocatoria y/o supresión procederá cuando la autoridad competente haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a la Ley 1581 de 2012 y a la Constitución, por muerte del Titular, y/o por orden judicial.

LA ENTIDAD podrá realizar la transferencia de datos a otros responsables del tratamiento cuando se realice en el ejercicio de sus funciones, obligaciones, o cuando así esté autorizado por el Titular de la información o por la ley o por un mandato administrativo o judicial.

LA ENTIDAD podrá enviar o transmitir datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia en los siguientes casos:

1. Para el ejercicio de sus funciones.
2. Cuando cuente con autorización de titular.
3. Cuando sin contar con la autorización exista entre el responsable y el encargado un contrato de transmisión de datos.

De conformidad con lo dispuesto en el artículo 2 de la Ley 1581 de 2012, la regulación sobre protección de datos personales no será aplicable a los siguientes casos:

1. Archivos o bases de datos de uso personal o doméstico, entendidos como aquellos mantenidos por una persona natural para fines exclusivamente privados y sin propósito de comunicación o difusión.
2. Archivos o bases de datos con fines de seguridad y defensa nacional, así como los destinados a la prevención, detección, monitoreo y control del lavado de activos y la financiación del terrorismo (LA/FT).
3. Archivos o bases de datos que contengan información de inteligencia o contrainteligencia, en el marco de las competencias legales de las autoridades.
4. Información periodística y otros contenidos editoriales, en ejercicio legítimo del derecho a la libertad de expresión y de información.
5. Archivos y bases de datos regulados por la Ley 1266 de 2008, relativa a la información financiera, crediticia, comercial, de servicios y proveniente de terceros países.
6. Archivos y bases de datos regulados por la Ley 79 de 1993, relacionados con censos de población y vivienda.

La política establecida por LA ENTIDAD respecto al tratamiento de Datos Personales podrá ser modificada en cualquier momento. Toda modificación se realizará con apego a la normatividad legal vigente, y la misma entrará en vigor y tendrá efectos desde su publicación a través de los mecanismos dispuestos por LA ENTIDAD para que los titulares conozcan la política de tratamiento de la información y los cambios que se produzcan en ella.

En cumplimiento del principio de transparencia y del derecho a recibir una explicación significativa sobre las decisiones automatizadas, FINTECH COLOMBIA SOLUTIONS S.A.S. garantizará que los titulares de los datos personales sean informados de manera clara, comprensible y accesible respecto de cualquier decisión que les afecte de forma relevante y que haya sido tomada, total o parcialmente, mediante procesos automatizados o el uso de sistemas de inteligencia artificial (IA).

Se consideran decisiones automatizadas aquellas que:

• No implican intervención humana significativa en la evaluación de los datos personales del titular.
• Tienen el potencial de generar un impacto jurídico o económico relevante, como la aprobación o rechazo de un crédito, la determinación de un puntaje de riesgo, la segmentación de clientes, o la priorización de alertas.
• Se basan en modelos algorítmicos, motores de decisión o sistemas de IA entrenados con datos personales.

Antes y después de la adopción de una decisión automatizada, FINTECH COLOMBIA SOLUTIONS S.A.S. informará al titular:

1. Que su información será tratada mediante procesos automatizados o sistemas de IA.
2. Cuáles son los criterios generales, variables y fuentes de datos que intervienen en la decisión.
3. Cuáles son los factores determinantes más frecuentes que pueden influir en el resultado (por ejemplo, nivel de endeudamiento, historial de pago, capacidad de ingresos, comportamiento digital, entre otros).
4. Que tiene derecho a solicitar revisión manual o humana de la decisión adoptada, a expresar su punto de vista y a controvertir los resultados obtenidos.

La empresa implementará procedimientos que garanticen la explicabilidad de los algoritmos, de modo que, aun cuando no se revelen detalles técnicos protegidos por secreto industrial, se pueda ofrecer al titular una explicación general sobre:

1. La lógica que subyace al sistema automatizado.
2. La manera en que los datos fueron utilizados o ponderados.
3. Los controles aplicados para reducir sesgos o errores.

Los modelos de IA deberán conservar registros auditables, incluyendo versiones del modelo, parámetros, fuentes de entrenamiento y criterios de evaluación, como parte de la política de responsabilidad demostrada.

Para proteger los derechos de los titulares frente a decisiones automatizadas, FINTECH COLOMBIA SOLUTIONS S.A.S. implementará las siguientes salvaguardas:

1. Intervención humana significativa en la validación de decisiones que afecten derechos o intereses fundamentales.
2. Procedimientos internos de revisión y apelación.
3. Evaluaciones periódicas de impacto en la privacidad y el sesgo algorítmico (Privacy Impact Assessments).
4. Supervisión técnica por parte del Área de Tecnología y Seguridad de la Información, y supervisión jurídica por el Oficial de Cumplimiento.

Las decisiones automatizadas deberán ajustarse a los siguientes principios:

1. Transparencia algorítmica: el titular debe poder entender los elementos esenciales de la decisión.
2. Proporcionalidad: el uso de IA debe ser adecuado y limitado a la finalidad específica.
3. No discriminación: se deben evitar sesgos que generen tratos desiguales injustificados.
4. Responsabilidad demostrada: la empresa debe ser capaz de demostrar el cumplimiento de los deberes legales y éticos en el tratamiento automatizado de datos personales.

La presente Política para el Tratamiento de Datos Personales rige a partir de su publicación, es decir julio de 2024.

Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta Política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, los datos serán suprimidos de las bases de datos de LA ENTIDAD, siempre y cuando medie solicitud expresa del interesado.