Objeto

INVERSIONES S&P SAS (en adelante la Compañía) en cumplimiento de las disposiciones constitucionales y legales que rigen la protección de datos personales, adopta la presente política con el propósito de garantizar que los titulares puedan conocer, incluir, actualizar, rectificar y excluir su información personal que sea objeto de tratamiento, en bases de datos o archivos de la Compañía.

Ámbito de aplicación.

Los procedimientos y directrices establecidos en esta política se aplicarán al tratamiento de cualquier base de datos o archivos creados, administrados y/o custodiados por la Compañía, ya sea como responsable o encargado del tratamiento.

1. Parágrafo. De igual manera, esta Política será aplicable a todos los destinatarios previstos en el artículo siguiente.

Destinatarios.

La presente Política es de obligatorio cumplimiento para:

1. Representantes y administradores de la Compañía.
2. Todos los trabajadores dependientes de la Compañía.
3. Personas naturales o jurídicas vinculadas a través de cualquiera de las modalidades de contratación de la Compañía.
4. Los Titulares de la Información quienes podrán consultar el procedimiento señalado para ejercer sus derechos legales.
5. Los demás previstos en la normativa o alguna disposición contractual.

Definiciones.

Para efectos de esta política se entiende por:

1. Área: Dependencia que integra la estructura administrativa de la Compañía. En este sentido, cuando en esta Política se imponga una obligación a un área o se solicite contactarla, su cumplimiento será responsabilidad del Jefe de cada una de ella o quien haga sus veces.
2. Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
3. Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
4. Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
5. Bases de datos automatizadas: Aquellas que se almacenan y administran con la ayuda de herramientas informáticas y/o tecnológicas.
6. Bases de datos manuales: Son los archivos cuya información se encuentra organizada y almacenada de manera física.
7. Cesión de datos: Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.
8. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, tales como el nombre, el número de identificación, la dirección, las imágenes que sobre personas se capturan, la huella dactilar, la afinidad política, la pertenencia a organizaciones sindicales, cosmovisión, formación académica, la condición sexual, entre otros.
9. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
10. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
11. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.
12. Datos sensibles: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
13. La Compañía: Inversiones S&P SAS.
14. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
15. Fuentes accesibles al público: Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser efectuada por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.
16. Habeas data: El derecho fundamental que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en la posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos personales.
17. Información negativa: Es aquella que refleja una condición que impacta desfavorablemente la imagen y el buen nombre del titular.
18. Información positiva: Es aquella que refleja una condición que impacta favorablemente la imagen y el buen nombre del titular.
19. Información reservada: Es aquella información exceptuada legalmente de acceso a la ciudadanía por cuanto su divulgación es susceptible de producir daños a derechos de personas naturales o jurídicas o a intereses públicos. Se entiende que ocurre lo primero cuando ello afecta la intimidad, el derecho a la vida, a la salud o a la seguridad de personas naturales o cuando se trata de secretos comerciales, industriales y profesionales. La divulgación de información afecta intereses públicos y por tanto es reservada en los casos previstos en el artículo 19 de la ley 1712 de 2014 (cuando afecte la defensa y seguridad nacional; la seguridad pública; las relaciones internacionales; la prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso; el debido proceso y la igualdad de las partes en los procesos judiciales; la administración efectiva de la justicia; los derechos de la infancia y la adolescencia; la estabilidad macroeconómica y financiera del país; la salud pública; así como los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos).
20. Normativa: Hace referencia a la Constitución Política de Colombia, leyes, decretos, resoluciones, ordenanzas, acuerdos, conceptos de la Autoridad Nacional de Protección de Datos Personales y jurisprudencia.
21. Responsable de Protección de Datos: Persona responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. El Responsable de Protección de Datos apoyará y guiará el proceso de implementación del principio de responsabilidad demostrada. El Responsable de Protección de Datos para La Compañía habeasData@krediya.co.
22. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
23. Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
24. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en la República de Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
25. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento del encargado por cuenta del responsable.
26. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Principios.

Para el tratamiento de datos personales, así como en el desarrollo, interpretación e implementación de la presente política, se aplicarán de manera armónica e integral, los siguientes principios:

1. Principio de legalidad en materia de tratamiento de datos: El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la normativa vigente.
2. Principio de interpretación integral de derechos constitucionales: Los procedimientos y directrices establecidas en esta política se interpretarán de forma integral en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables.
3. Principio de finalidad: El tratamiento de datos personales obedecerá a finalidades legítimas de acuerdo con la Constitución y la ley, las cuales serán informadas al titular.
4. Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
5. Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
6. Principio de transparencia: Se garantizará al Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
7. Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones en materia de habeas data y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la normativa vigente. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.
8. Principio de seguridad: La información sujeta a tratamiento por parte de la Compañía se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
9. Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad que desarrolla el derecho al habeas Data.
10. Principio de temporalidad de la información: La información del titular no será suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos. Título III. Derechos y condiciones de legalidad para el tratamiento de datos.

Derechos de los titulares.

El titular de los datos personales tendrá los siguientes derechos:

1. Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el tratamiento de conformidad con la ley.
3. Ser informado, previa solicitud, respecto del uso que se les ha dado a sus datos personales.
4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente política y las normas que rigen la materia, cumpliendo para el efecto con el requisito de procedibilidad consistente en haber agotado el trámite de consulta o reclamo ante la Compañía.
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento se ha incurrido en conductas contrarias a la ley y a la Constitución. No obstante, lo anterior, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

Autorización del titular.

La Compañía solicitará, a más tardar en el momento de la recolección de los datos, la autorización del titular para el tratamiento de los mismos e informarle los datos personales que serán recolectados, así como las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento. Para tal efecto, todos los trabajadores de la Compañía, en especial, los directivos y los responsables de cada proceso en el que se requiera hacer tratamiento de datos personales, tienen la obligación de garantizar que previamente al tratamiento de estos se obtenga la autorización del titular de manera libre, expresa e informada, siguiendo los parámetros establecidos por la normativa colombiana y la presente Política. Para la autorización del titular pueden utilizarse medios técnicos que faciliten la manifestación del titular. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste:

1. por escrito.
2. de forma oral.
3. mediante conductas inequívocas que permitan concluir de forma razonable que se otorgó la autorización, garantizando en todo caso que esta sea susceptible de posterior consulta. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

Parágrafo I. Cada área, conservará soporte de la autorización para el tratamiento de datos personales.

Contenido de la autorización.

Cualquier autorización para el tratamiento de datos personales en donde la Compañía actúe como responsable o encargada del tratamiento deberá contener por lo menos lo siguiente:

1. El tratamiento al cual serán sometidos los datos personales, finalidad del mismo, período de almacenamiento de la información.
2. El carácter facultativo de la autorización relativa a datos sensibles y de menores de edad.
3. Los derechos que le asisten al titular.
4. La identificación, dirección física o electrónica y teléfono de la Compañía.

Casos en que no es necesaria la autorización.

La autorización del titular no será necesaria cuando se trate de:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
2. Datos de naturaleza pública.
3. Casos de urgencia médica o sanitaria.
4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
5. Datos relacionados con el registro civil de las personas.

Autorización para el tratamiento de datos sensibles.

La autorización para el tratamiento de datos sensibles deberá obtenerse de manera expresa de forma que contenga además de los requisitos del artículo anterior lo siguiente:

1. Informe al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.
2. Informe al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.

Parágrafo: Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

Aviso de privacidad.

En los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, el Responsable, a través del aviso de privacidad dará a conocer al Titular la información relativa a la existencia de la política de tratamiento de datos personales, la forma de acceder a esta, la finalidad del mismo, los datos de contacto de la Compañía , los canales dispuestos por la misma para que los titulares de la información ejerzan los derechos previstos en la presente política. Así mismo, contendrán los derechos que le asisten al titular, los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente, cómo acceder o consultar la política de Tratamiento de información. Cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos. En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información. El aviso de privacidad se encuentra disponible para ser consultado permanentemente en el sitio web de la Compañía:https://www.tenocredit.com.co

Tratamiento de los datos personales.

La Compañía realizará tratamiento consistente en recolectar, almacenar, usar, circular, registrar, administrar, reportar, procesar, emplear, evaluar, analizar, confirmar, actualizar y suprimir, bajo estándares de confidencialidad, seguridad, transparencia, veracidad, temporalidad, acceso y circulación restringida, de conformidad con las disposiciones normativas y en el marco de su objeto social para fines administrativos, operativos, estadísticos, comerciales y para todo aquello que se considere pertinente en desarrollo de las funciones, actividades y operaciones comprendidas dentro del mismo.

Finalidad.

Los colaboradores de la Compañía solamente realizarán tratamiento de datos personales para cumplir con una finalidad legítima relacionada con las responsabilidades a su cargo. Por consiguiente, la recolección de datos personales se limitará a aquellos que son pertinentes, adecuados, necesarios y útiles para el (o los) propósito (s) para el (los) cual (es) son recolectados o requeridos de conformidad con el aviso de privacidad.

Deberes de la Compañía como responsable de tratamiento.

La Compañía, como responsable o encargada del tratamiento cumplirá con los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley:

1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar copia de la respectiva autorización otorgada por el titular.
3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Informar a solicitud del titular sobre el uso dado o que se dará a sus datos.
5. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
6. Tramitar las consultas y reclamos formulados en los términos señalados en la presente política y realizar oportunamente la actualización, rectificación o supresión de los datos.
7. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
8. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
9. Registrar en la base de datos la leyenda “reclamo en trámite” cuando este sea formulado por parte del titular de la información o “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
10. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
11. Permitir el acceso a la información únicamente a las personas que están legitimadas para acceder a ella.
12. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
13. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
14. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
15. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
16. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
17. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
18. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

Deberes de la Compañía frente a los encargados del tratamiento.

En los casos en que la Compañía como responsable del tratamiento suministre a un encargado información personal lo hará atendiendo los siguientes deberes:

1. Suministrar, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado.
2. Garantizar que la información suministrada sea veraz, completa, exacta, actualizada, comprobable y comprensible.
3. Exigir en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
4. Exigir el cumplimiento de las disposiciones previstas en la ley y en la presente política.
5. Informar cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

Deberes de los encargados del tratamiento.

Los encargados del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones normativas que rijan su actividad:

1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la normativa sobre la materia.
4. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en las normas aplicables y la presente política.
6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.
7. Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula en la normativa.
8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
9. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo I. En los casos en que concurran en la Compañía las calidades de responsable encargado del tratamiento, se cumplirán los deberes previstos para cada uno.

Obligaciones de las áreas de la Compañía.

Para el cumplimiento estricto de la presente política sobre protección de datos personales, cada área de la Compañía deberá:

1. Debe hacer un inventario de las bases de datos o archivos que hasta el momento administra, indicando el objeto, la finalidad y el tiempo de existencia y reportarlo al Oficial de Protección de Datos Personales, en el término que esta establezca.
2. A partir de la fecha, si requiere crear una base de datos o archivo que contenga información personal, se deberá establecer el objeto, la finalidad y el tiempo de existencia de la misma y reportarlo al Responsable de Protección de Datos a fin de que en el término de diez (10) días hábiles a partir de la fecha de la solicitud se emita un concepto motivado sobre su implementación y uso. El concepto negativo del Responsable de Protección de Datos equivale a la prohibición de crear la base de datos o archivo solicitado. Sin embargo, si el área subsana las observaciones expuestas por el Responsable de Protección de Datos en su concepto, en caso de ser procedente, podrá solicitarse ante esta la reconsideración de la decisión, en forma motivada para que apruebe su constitución.
3. Elaborar un inventario detallado de terceros encargados del tratamiento de datos personales existentes a la fecha, en el que explique las actividades que desarrollan y se analicen las condiciones del tratamiento y lo remitirá al Responsable de Protección de Datos junto con el contrato u orden, para que estudie las estipulaciones contractuales que reglamentan el vínculo jurídico con la Compañía en los términos de la presente política, así como los criterios y la metodología que empleará la Compañía para realizar una adecuada supervisión d el cumplimiento de la normativa sobre protección de datos personales por parte de los terceros encargados. El Responsable de Protección de Datos dará a conocer el resultado del estudio dentro de los quince días hábiles siguientes.
4. Comunicar al Oficial de Protección de Datos Personales, si requiere encargar el tratamiento de datos personales a un tercero, debe previamente comunicar al Responsable de Protección de Datos las actividades a desarrollar, las condiciones en que se ejecutará el tratamiento, la metodología para tal fin, los manuales y políticas de protección de datos personales obtenidos en sondeos de mercados, para que dicha Gerencia determine que existe un nivel adecuado de protección de datos personales y se avale su invitación.
5. Cada vez que requiera modificar el objeto, la finalidad, el tipo de datos, y el tiempo de existencia de una base de datos o archivo, deberá justificarlo razonadamente a través de comunicación escrita o correo electrónico que dirigirá al Responsable de Protección de Datos con el propósito de que, en el término de diez días hábiles a partir de la fecha en que se reciba la comunicación, emita concepto favorable o desfavorable a su implementación. El concepto negativo del Responsable de Protección de Datos equivale a la prohibición de modificar la base de datos o archivo. Sin embargo, si el área subsana las observaciones expuestas por el Responsable de Protección de Datos en su concepto, en caso de ser procedente, podrá solicitarse ante esta la reconsideración de su decisión en forma motivada para que apruebe su modificación.
6. Debe definir el (o los) trabajador (es) que de forma exclusiva podrá (n) realizar tratamiento de datos personales y lo informará al Responsable de Protección de Datos para que, en el término de diez días hábiles a partir del recibo de la comunicación, elabore el contenido de las obligaciones a incluir en el perfil del cargo. A su vez, el Responsable de Protección de Datos remitirá al área solicitante el contenido de las obligaciones para que esta gestione ante la Gerencia de Gestión Humana la actualización del perfil del cargo y responsabilidades.
7. Garantizar que no se implementarán bases de datos o archivos que contengan únicamente información negativa o adversa.
8. Dar a conocer al titular de la información el contenido del aviso de privacidad antes de tomar la autorización, para garantizar que conozca todas las finalidades de la información.
9. Revisar de manera oficiosa y oportuna el aviso de privacidad elaborado por el Responsable de Protección de Datos y proponer las inclusiones o ajustes que considere pertinentes.
10. Remitir al Responsable de Protección de Datos los formatos en los que se recopilan datos personales que hasta la fecha existen y hacen parte del Sistema de Gestión Integrado, indicando la finalidad de los mismos y de la información a recopilar, para que dicha Gerencia, en el término de diez días hábiles contados a partir del recibo de la comunicación, determine si es necesario o no la inclusión de la autorización para el tratamiento de los mismos.
11. A partir de la fecha, cada vez que vaya a crear formatos en los que se recolecta información personal, debe remitir al Responsable de Protección de Datos el proyecto de dicho formato indicando la finalidad de los mismos y de la información a recopilar, para que dicha Gerencia, en el término de diez días hábiles contados a partir del recibo de la comunicación, determine si es necesario o no la inclusión de la autorización para el tratamiento de los mismos.
12. Debe adoptar todas las medidas que impidan el acceso no autorizado a terceros, para proteger la información, evitando su manipulación, alteración o supresión y tener en cuenta que la información personal recopilada en bases de datos o archivos es de circulación restringida, por lo cual, por regla general, solamente se divulgará a terceros autorizados por el titular de acuerdo a las finalidades autorizadas o a legitimados para solicitar tal información.
13. Coadyuvar en la implementación y consolidación de la Política de Tratamiento de Datos Personales y el principio de responsabilidad demostrada que lidera el Oficial de Protección de Datos Personales.

Obligaciones de los oferentes y contratistas.

Todos los oferentes y contratistas de la Compañía garantizarán en todas las etapas del tratamiento que realicen, un nivel adecuado de protección de los datos personales. Igualmente, garantizarán que cualquier información personal de la cual sean responsables y que deban ser suministradas a la Compañía con ocasión de la presentación de la oferta o del contrato, es objeto de debido tratamiento de conformidad con la normativa sobre protección de datos personales y cuenta con autorización previa, consentida y susceptible de posterior consulta. Título V Procedimiento para la recepción y resolución de consultas y reclamos.

Legitimación para el ejercicio de los derechos del titular.

Los derechos del titular, podrán ejercerse por las siguientes personas:

1. Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que ponga a disposición el responsable.
2. Por sus causahabientes, quienes deberán acreditar tal calidad.
3. Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
4. Por estipulación a favor de otro o para otro.
5. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

Parágrafo I. El titular, sus causahabientes o el legitimado deberán anexar con la consulta o reclamo copia de su documento de identidad y los demás que considere necesarios para sustentar su requerimiento.

Parágrafo II. Si la consulta o reclamo se refiere a un titular fallecido, el cónyuge, compañero permanente y/o causahabientes, deben presentar la solicitud, anexando copia auténtica del registro civil de defunción del titular de la información y copia auténtica del registro civil que acredite el parentesco (de matrimonio, de nacimiento, etc.) o declaración extra juicio en casos de unión marital de hecho.

Consultas.

La consulta se formulará por el medio habilitado por el Responsable del Tratamiento, siempre y cuando se pueda mantener prueba de esta. El legitimado al efecto realizará las consultas a través de comunicación escrita o por medio de correo electrónico, en la que:

1. determine su identidad (nombre completo y número de identificación personal);
2. precise de manera clara, específica, detallada y fundamentada el objeto de la consulta;
3. establezca y acredite el interés legítimo con el que actúa, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido y firma ante notario público e,
4. informe dirección física y/o electrónica para recibir comunicaciones. Las principales materias objeto de consulta son:
   • Solicitud de información de acceso a datos personales.
   • Solicitud de prueba o constancia de autorización.
   • Consulta del uso que se le ha dado a la información.

Parágrafo I. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular, de forma que la misma sea de fácil lectura, sin barreras técnicas que impidan su acceso y corresponda en un todo a aquella que repose en la base de datos.

Reclamos.

El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. El titular, sus causahabientes u otra persona con un interés legítimo podrán presentar un reclamo por escrito o por medio de correo electrónico ante el área responsable, el cual contendrá:

1. la determinación de la identidad (nombre completo y número de identificación personal;
2. Una precisión clara, específica, detallada y fundamentada del objeto del reclamo;
3. La manifestación del interés legítimo con el que actúa así como su acreditación, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido y firma ante notario público y,
4. la dirección física y/o electrónica para recibir comunicaciones. Las principales materias objeto de reclamo son:
   • Corrección o actualización de datos personales del titular.
   • Revocatoria parcial o total de la autorización del tratamiento.
   • Supresión de datos personales.

Corrección o actualización de datos personales del titular.

El reclamo consistente en la corrección de datos personales deberá contener además de los requisitos establecidos en el artículo anterior, la especificación de las correcciones a realizar y acompañarse de la documentación que avale su petición.

Revocatoria parcial o total de la autorización del tratamiento.

Los titulares de datos personales tienen derecho a revocar la autorización cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, lo cual procederá en aquellos casos en los que presentada la solicitud la Compañía así lo determina o en los cuales, la autoridad de protección de datos personales lo ordene. No obstante, si la Compañía considera que no es procedente la revocación así lo informará mediante comunicación motivada, dentro de los términos previstos en el numeral vii del artículo 28 de esta Política. Por su parte, revocada la autorización la Compañía procederá a eliminar de las bases de datos respectivas las informaciones en ellas contenidas.

Supresión de datos personales.

Los titulares de datos personales tienen derecho a la supresión de los mismos cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. El reclamo consistente en la solicitud de supresión de datos personales deberá contener además de los requisitos establecidos en el punto 21 de esta política, la identificación de los datos cuya supresión se pretende y procederá en aquellos casos en los que la Compañía así lo determine o en los cuales la autoridad de protección de datos personales lo ordene.

Improcedencia de la solicitud de supresión de los datos o revocatoria de la autorización.

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

Datos del responsable del tratamiento.

El responsable del tratamiento es INVERSIONES S&P SAS, cuyo NIT es 900.697.321-5 ubicada en Bogotá D.C. El Responsable de Protección de Datos quien tiene las atribuciones necesarias para recibir, atender y resolver las consultas y reclamos de titulares de datos personales o personas legitimadas para ello, correo electrónico habeasdata@nuawicredit.com

Procedimiento para atender consultas.

Cuando se presente una consulta, se actuará así:

1. Gestión Documental entregará en forma física y/o electrónica la consulta al Oficial de Protección de Datos Personales, quien prestará atención la consulta.
2. El Responsable de Protección de Datos revisará, dentro de los dos días hábiles siguientes, que la consulta se haya presentado por el titular de la información o quien esté legitimado para ello con el cumplimiento de los requisitos establecidos en el artículo 20 de esta política.
3. Si la consulta no cumple con todos los requisitos establecidos en el artículo 20 de esta política, esta no se atenderá y se informarán los motivos al remitente.
4. Si la consulta cumple con los requisitos establecidos en el artículo 20 de esta política, se analizará el objeto de la misma para determinar si se requiere el suministro de información y/o apoyo de otra área de la Compañía. De ser así, el Responsable de Protección de Datos remitirá por correo electrónico la consulta al jefe de la respectiva área para que, en el término de dos (2) días hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.
5. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se resolverá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Procedimiento para atender reclamos.

Cuando se presente un reclamo, se deberá cumplir con el siguiente procedimiento:

1. Gestión Documental entregará en forma física y/o electrónica el reclamo al Oficial de Protección de Datos Personales, quien se la asignará inmediatamente al profesional encargado de la política de protección de datos personales.
2. El Responsable de Protección de Datos revisará, dentro de los dos días hábiles siguientes, que el reclamo se haya presentado por el titular de la información o quien esté legitimado para ello con el cumplimiento de los requisitos establecidos en el punto 21 de esta política.
3. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
4. En caso de que la Compañía no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación al interesado.
5. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a cinco (5) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
6. Se analizará el objeto del reclamo para determinar si se requiere el suministro de información y/o apoyo de otra área de la Compañía. De ser así, el Responsable de Protección de Datos remitirá por correo electrónico el reclamo al jefe de la respectiva área para que, en el término de dos hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.
7. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se resolverá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Disposiciones finales.

Asesoría jurídica. El Responsable de Protección de Datos prestará la asesoría a las áreas y colaboradores que así se lo soliciten.

Verificación de cumplimiento. La Dirección deAuditoría Interna verificará el cumplimiento estricto de esta Política en todas las auditorías que realice e informará el resultado de las mismas al Responsable de Protección de Datos.

Inducción y reinducción. La Gerencia de Gestión Humana o el área que haga sus veces, incluirá como punto del programa de cada inducción y reinducción el atinente a protección de datos personales, para lo cual solicitará al Responsable de Protección de Datos que realice la presentación respectiva.

Confirmación de referencias. Solamente la Gerencia de Talento Humana o quien haga sus veces es el área autorizada para confirmar referencias laborales. Para tal efecto, el titular de la información deberá comunicar a través de medio escrito o correo electrónico a dicha área, la entidad que se contactará a confirmar las referencias y autorizará proceder en tal sentido.Parágrafo I. La confirmación de referencias se realizará sobre información positiva y nunca sobre datos negativos o adversos al titular.

Temporalidad del tratamiento. El tratamiento de los datos personales por parte de La Compañía se realizará durante el término de pertinencia del dato y, en todo caso, hasta el cumplimiento de (o las) finalidad (es) para la (s) cual (es) se autorizó o cuando resulte procedente por disposición legal o contractual. La información negativa o adversa permanecerá por un lapso de cinco años, salvo que una ley disponga un plazo inferior. Vencido el término máximo de permanencia, el dato negativo será eliminado de la respectiva base de datos o archivo, garantizando el derecho al olvido de los titulares de la información.

Integración. Hace parte integral de esta Política el aviso de privacidad.

Principio de Responsabilidad demostrada. La Compañía implementará el principio de responsabilidad demostrada para lo cual propenderá por tener una alta cultura organizacional en materia de protección de datos personales y el compromiso de la alta dirección sobre la materia, de conformidad con las guías implementadas por la Superintendencia de Industria y Comercio.

Vigencia. La presente política para el tratamiento de datos personales rige a partir de la fecha de su expedición.