PRA GROUP COLOMBIA HOLDING S.A.S

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
Y LA PRIVACIDAD DE LA INFORMACIÓN PERSONAL PRA GROUP COLOMBIA HOLDING S.AS

1. 1. INTRODUCCION

      PRA GROUP COLOMBIA HOLDING S.A.S. (En adelante PRA) identificada con NIT No. 901127873-8, presenta a conocimiento de los titulares de la información su Política de Protección de Datos Personales y la Privacidad de la Información Personal. En esa medida, el tratamiento de los datos personales está sujeto a las normas vigentes en la República de Colombia sobre Protección de Datos Personales las cuales constituyen el marco regulatorio sobre el cual PRA, realiza sus procesos y adelanta sus actividades.

   2. ALCANCE

      PRA, tiene por objeto social el desarrollo de cualquier actividad lícita, dentro de las cuales se encuentra la compra de carteras insolutas para lograr su recuperación. En tal sentido, PRA comprometida con el respeto y la garantía de los derechos de sus clientes, proveedores, colaboradores, subordinados, externos, contratistas, asesores, aliados, terceros, entre otros (en adelante “titular o titulares”), adopta la siguiente Política de Protección de Datos Personales y la Privacidad de la Información Personal la cual es de obligatorio cumplimiento, en cada una de las actividades en las cuales se involucre total o parcialmente, la recolección, el almacenamiento, el uso, la circulación y transmisión de datos personales.

      Cuando el Titular de los datos presta su consentimiento para que estos formen parte de una base de datos de una organización u empresa, pública o privada, ésta se hace responsable del tratamiento de estos datos y adquiere una serie de obligaciones, como son la de tratar dichos datos con seguridad y cautela, velar por su integridad y aparecer como órgano a quien el titular puede dirigirse para el seguimiento de la información y el control de la misma, pudiendo ejercer sus derechos de conocer, solicitar y requerir la actualización o supresión de sus datos personales.

      La presente política, será aplicable para cada una de las relaciones contractuales o comerciales que lleguen a ocurrir entre PRA, sus entidades vinculadas y los titulares de la información.

   3. BASE LEGAL

      La presente Política, se desarrolla con el objetivo de dar cumplimiento a los artículos 15 y 20 de la Constitución Política; de los artículos 17, literal k), y 18, literal f), a la Ley Estatutaria 1581 de 2012, “Por la cual se dictan disposiciones generales para la Protección de Datos Personales” ; y el artículo 13 del Decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”, el Decreto 1074 de 2015 y el Decreto 886 de 2014 que reglamenta parcialmente la ley 1581 de 2012, en lo relativo al Registro Nacional de Bases de Datos. La referida normatividad ha establecido las condiciones mínimas para realizar el tratamiento de los datos personales, y ha consagrado la obligación, en cabeza de los responsables del tratamiento de datos, de desarrollar políticas para el tratamiento de los estos, velando para que se dé cabal cumplimiento a las mismas.

   4. RESPONSABLE DEL TRATAMIENTO DE DATOS

      El responsable del tratamiento de las bases de datos objeto de esta política es PRA, cuyos datos de contacto son los siguientes:

      • Dirección: Calle 19 No. 7-48, Piso 2 en la ciudad de Bogotá D.C.
      • Correo electrónico: paulo.moritzkon@pragroup.com.co

      Si bien la responsabilidad del tratamiento de los datos recae en PRA en su calidad de responsable del tratamiento, sus competencias se materializan en las funciones que corresponden a su personal y terceros a su servicio.

      Cada una de las partes relacionadas a PRA con acceso, directo o indirecto, a bases de datos que contienen datos personales han de conocer la Política de Protección de Datos Personales y la Privacidad de la Información Personal y las demás políticas de seguridad de la información de la organización; y deben cumplir con las obligaciones en materia de seguridad de los datos correspondientes a sus funciones y cargo.

      Por consiguiente los trabajadores, colaboradores, subordinados, aliados, terceros, proveedores y contratistas de PRA son responsables y/o encargados de la aplicación de esta Política de Protección de Datos Personales y la Privacidad de la Información Personal.

      Conforme a lo anterior todos los procesos de PRA que reciban, procesen y tengan acceso a la información de nuestros Titulares son responsables de proteger dicha información, contra el mal uso que se dé a la misma y/o divulgación no autorizada por el dueño y/o usuario de la información.

   5. DEFINICIONES

      • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
      • Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
      • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
      • COVINOC S.A: Sociedad Comercial que funge como administradora de cada una de las carteras adquiridas por PRA. La cual tiene la facultad de realizar todo el proceso de cobro y recuperación de las obligaciones, así como representar ante órganos judiciales y administrativos a PRA.
      • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
      • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
      • Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
      • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales, por cuenta del Responsable del Tratamiento.
      • Registro Nacional de Bases de Datos (RNBD): Es el directorio público de las bases de datos sujetas a tratamiento que operan en el país. El registro es administrado por la Superintendencia de Industria y Comercio y es de libre consulta para los ciudadanos.
      • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
      • Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
      • Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
      • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento del Encargado por cuenta del Responsable.
      • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, procesamiento, circulación o supresión de datos.

   6. PRINCIPIOS QUE SE TENDRÁN EN CUENTA PARA EL TRATAMIENTO DE DATOS PERSONALES EN PRA

      El artículo 4 de la Ley Estatutaria 1581 de 2012 establece los principios para el tratamiento de datos personales que se han de aplicar, de manera armónica e integral, en el desarrollo, interpretación y aplicación de la Ley.

      En el desarrollo y aplicación de la presente Política, PRA aplicará, de manera armónica e integral, los siguientes principios:

      1. Principio de legalidad en materia de Tratamiento de datos: El tratamiento a que se refiere la presente política es una actividad regulada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
      2. Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular del dato.
      3. Principio de libertad: Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular por cualquier medio que permita ser consultado con posterioridad, salvo en los siguientes casos que exceptúa el artículo 10 de la Ley Estatutaria 1581 de 2012:
         • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
         • Datos de naturaleza pública.
         • Casos de urgencia médica o sanitaria.
         • Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos.
         • Datos relacionados con el Registro Civil de las personas.
      4. Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
      5. Principio de transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del tratamiento (PRA) o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
      6. Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales. El tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas para la ejecución de los procesos internos dentro de PRA.
         Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
      7. Principio de seguridad: La información sujeta a tratamiento por PRA, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El responsable del tratamiento tiene la responsabilidad de implantar las medidas de seguridad correspondientes y de ponerlas en conocimiento de todo personal que tenga acceso, directo o indirecto, a los datos. Cualquier modificación de las normas y medidas en materia de seguridad de datos personales por parte del responsable del tratamiento ha de ser puesta en conocimiento de los Titulares.
      8. Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente Política y en los términos de la misma.

   7. TRATAMIENTO DE DATOS PERSONALES EN PRA

      Como parte de las actividades realizadas por PRA en desarrollo de su objeto social, será requerida la entrega de diferentes datos personales acordes con las finalidades expuestas en esta política, tales como pero sin limitarse a: nombre, dirección, edad, así como otra información de contacto como número de teléfono y dirección electrónica e información específica en torno a referencias, condiciones económicas del Titular en su calidad de deudor de las obligaciones adquiridas por PRA, así como otra información relevante encaminada a facilitar el ejercicio de las actividades propias de la entidad.

      Estos datos pueden ser recolectados por PRA directamente del Titular a través de los siguientes mecanismos:

      1. Registro de información, para efectos de la prestación del servicio de firma electrónica con validez jurídica.
      2. Medios telefónicos, electrónicos (SMS, chat, correo electrónico y demás medios así considerados) físicos y/o personales.
      3. Formatos de vinculación.
      4. Formatos de registro de asistencia a eventos.
      5. Títulos endosados.
      6. Registro de información para quejas, reclamos, sugerencias, solicitudes, peticiones, etc.

      La información personal no será utilizada o tratada con propósitos diferentes a los aquí manifestados. PRA podrá llevar a cabo el tratamiento de los datos en sus propios servidores, en los servidores de las personas jurídicas contratadas para efectuar las gestiones de administración y cobro de las obligaciones contenidas en las carteras de PRA o en aquellos provistos por un tercero especializado en la materia y estos podrán estar ubicados en Colombia o en otros países. De igual forma, PRA se encuentra comprometida con la confidencialidad y el manejo apropiado de las bases de datos atendiendo a las políticas sobre tratamiento de la información establecida en nuestra legislación vigente.

      7.1 Finalidades del tratamiento de la información

      La información del Titular se requiere para ser recolectada, consultada, recopilada, evaluada, catalogada, clasificada, ordenada, grabada, almacenada, actualizada, modificada, aclarada, reportada, informada, analizada, utilizada, compartida, circulada, suministrada, suprimida, procesada, solicitada, verificada, intercambiada, retirada, transferida, transmitida divulgada y en general, para efectuar cualquier operación o conjunto de operaciones realizadas por PRA o sus entidades autorizadas.

      Además de las finalidades antes previstas, el tratamiento de la información de los Titulares contempla los siguientes objetivos, a saber:

      1. Ser contactado para renovaciones, negociaciones, ofrecimiento de servicios, ser informado e invitado a participar en eventos, capacitaciones, obtención de beneficios.
      2. Enviar información de carácter comercial, promocional o invitaciones de PRA o sus aliados estratégicos.
      3. Realizar encuestas y/o sondeos de opinión sobre los servicios de PRA.
      4. Evaluar la calidad de los servicios.
      5. Recopilar información del Titular respecto de carteras propias.
      6. Actualizar los datos personales de Titulares, a través de diferentes actividades como lo son la consulta en bases de datos públicas, privadas y por medio de referencias aportadas por el Titular.
      7. Realizar la consulta y reporte del comportamiento de pago de los Titulares en las centrales de riesgo crediticio legalmente establecidas.
      8. Realizar actividades de cobranza, recuperación de cartera, geo-referenciación, estudios estadísticos de comportamiento crediticio, ubicación de deudores a través de interpretación e interacción de datos de diversas fuentes.
      9. Enviar información sobre actividades desarrolladas por PRA. o envío de información que se considere de interés.
      10. Contactar a los titulares para informar sobre el proceso de cobranza de las obligaciones, informando sobre el estado de su obligación e invitándolo a la normalización de su obligación.
      11. Actualizar las bases de datos de PRA para el logro de un proceso de cobranza efectivo de la cartera propia.
      12. Adelantar todas las gestiones requeridas para realizar la cobranza de obligaciones y la recuperación de cartera tanto judicial como extrajudicialmente.
      13. Para que los datos personales, comerciales, privados, semiprivados o sensibles recolectados o suministrados por el Titular o terceros puedan ser utilizados como medio de prueba.
      14. Dar cumplimiento a las obligaciones legales de información a los entes administrativos, así como autoridades judiciales competentes que así lo requieran.
      15. Compartir la información con terceros y aliados que colaboran con PRA y que para el cumplimiento de sus funciones deben acceder en alguna medida a la información, tales como, proveedores del servicio de call y contac center, proveedores del servicio de mensajería, proveedores del servicio de facturación, como COVINOC S.A. en su calidad de administradora integral del Portafolio de Cartera de PRA, la cual, entre otras funciones, realiza las gestiones de cobranza y recuperación de cartera. Adicional a lo anterior, para compartirla con los profesionales del derecho que colaboran con PRA en el desarrollo de su objeto social. En todo caso, esas entidades y personas estarán igualmente sujetas a las mismas obligaciones de confidencialidad en el manejo de la información a que está sujeta PRA con las limitaciones legales impuestas por las leyes aplicables sobre la materia en Colombia.
      16. Hacer estudios de crédito sobre el Titular.
      17. Como elemento de análisis en etapas pre-contractuales, contractuales y post-contractuales para establecer y/o mantener cualquier relación contractual, incluyendo como parte de ello, los siguientes propósitos: I. Actualizar bases de datos y tramitar la apertura y/o vinculación de productos y/o servicios con NET S.A.S o cualquiera de sus entidades autorizadas. II. Evaluar riesgos derivados de la relación contractual potencial, vigente o concluida. III. Realizar, validar, autorizar o verificar transacciones incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como huellas, imagen o voz. IV. Obtener conocimiento del perfil comercial o transaccional del Titular, el nacimiento, modificación, celebración y/o extinción de obligaciones, el incumplimiento de las obligaciones que adquiera con NET S.A.S o sus entidades autorizadas. V. Conocer el estado de las operaciones vigentes activas o pasivas o de cualquier naturaleza o las que en el futuro llegue a celebrar con NET S.A.S, con otras entidades financieras o comerciales, con cualquier operador de información o administrador de bases de datos. VI. Prevenir los delitos de lavado de activos, financiación del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.
      18. Transmitir y/o Transferir Datos Personales o cualquier dato que haya sido suministrado como consecuencia de la relación contractual con NET S.A.S, en Colombia o en el Exterior a un tercero, según lo defina NET S.A.S.
      19. Validar la identidad personal del Titular, Ofrecer y/o reconocer beneficios, hacer tele mercadeo y/o cobranzas relacionadas a las obligaciones adquiridas.

      Así mismo, el Titular del dato conoce y acepta que todos sus datos podrán ser utilizados para promocionar, promover, enviar, elaborar, remitir, procesar, y de manera general, llevar a cabo concursos o jornadas de carácter publicitario de PRA, de sus aliados o vinculados, respecto a cartera propia, a través del envío de e-mail, mensajes de texto, o a través de cualquier medio análogo y/o digital de comunicación vigente o que se desarrolle posteriormente.

      7.2 Tratamiento de Datos Sensibles

      Esta información personal se incluye en una categoría especial por estar relacionada con datos médicos de carácter confidencial, información sobre raza u origen étnico, creencias religiosas, ideología política, sexualidad, condiciones de desplazamiento o calamidad y datos biométricos. En caso de requerirse este tipo de información para el adecuado desarrollo de las actividades adelantadas por PRA, los Titulares deberán otorgar su autorización expresa, la cual deberá hacerse siempre de manera libre y voluntaria. PRA acepta el carácter facultativo de la respuesta a las preguntas que sean efectuadas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; sin embargo, tales respuestas no podrán ser omitidas cuando los datos que se están requiriendo vayan a ser utilizados en la labor de cobranza dentro del marco legalmente permitido.

      7.3 Se prohíbe el tratamiento de datos sensibles, excepto cuando:

      1. El Titular haya dado a PRA su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
      2. El tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
      3. El tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
      4. El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
      5. El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

   8. DERECHOS DE LOS USUARIOS.

      De acuerdo con la legislación colombiana vigente, en particular la Constitución Política y la Ley 1581 de 2012, los Titulares, sus representantes legales o sus causahabientes tienen derecho a:

      1. Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
      2. Solicitar prueba de la autorización otorgada a PRA salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley Estatutaria 1581 de 2012;
      3. Ser informados por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que se le ha dado a sus datos personales;
      4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente Política y las demás normas que la modifiquen, adicionen o complementen;
      5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento PRA ha incurrido en conductas contrarias a la presente Política y en consecuencia con la ley Estatutaria 1581 de 2012, su Decreto Reglamentario 1377 de 2013 y a la Constitución;
      6. Acceder en forma gratuita a los datos personales que hayan sido objeto de Tratamiento cada vez que existan modificaciones sustanciales a estas políticas de tratamiento de la información que motiven nuevas consultas.

      Para que el Titular ejerza sus derechos podrá contactarse con PRA a través de comunicación escrita dirigida a nuestra área de atención al cliente a la siguiente dirección; Calle 19 No. 7-48 Piso 2 en la ciudad de Bogotá D.C., o al correo electrónico paulo.moritzkon@pragroup.com.co.

      La comunicación referida deberá contener todos los datos necesarios y aplicables al derecho de petición para efectos de garantizar la oportuna y efectiva respuesta, acompañada de una descripción clara y precisa de los datos personales respecto de los cuales el Titular busca ejercer sus derechos; así mismo, en el evento de no actuar directamente, el interesado deberá acreditar formalmente la calidad en que actúa. PRA dará respuesta al peticionario dentro de los términos establecidos por la Ley 1581 de 2012. Es de anotar que mientras el Titular de la información aparezca como deudor de obligaciones de PRA, la información será mantenida y el Titular carecerá de facultades para solicitar la supresión de la información de las bases de datos. Si la solicitud de retiro se hace con posterioridad a la cancelación total y efectiva de la obligación y/o a finalizada la relación legal o contractual, la eliminación de los datos significará que los mismos no podrán ser accesibles para el desarrollo de las operaciones normales de PRA, sin embargo podrán mantenerse en sus archivos con fines estadísticos, históricos o atención de requerimiento de autoridades administrativas o judiciales.

      8.1 Derechos de los Niños, Niñas y Adolescentes

      El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes requisitos:

      • Que responda y respete el interés superior de los niños, niñas y adolescentes.
      • Que se asegure el respeto de sus derechos fundamentales.

      Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor a su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

      Es responsabilidad de los representantes legales y tutores conocer los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás.

      Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos, cumpliendo en todo momento con los principios y obligaciones recogidos en la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y la presente política. En todo caso, el tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.

      Los derechos de acceso, corrección, supresión, revocación o reclamo por infracción sobre los datos de los niños, niñas adolescentes se ejercerán por las personas que estén facultadas para representarlos.

   9. AUTORIZACIÓN DEL USUARIO.

      Sin perjuicio de las excepciones previstas en la presente política, y conforme a la ley Estatutaria 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, en el Tratamiento se requiere la autorización previa e informada del USUARIO, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Mediante la aceptación de la presente política, todo Titular que facilite información relativa a sus datos personales está consintiendo el tratamiento de sus datos por parte de PRA, en los términos y condiciones recogidos en la misma.

      9.1 Casos en que no es Necesaria la Autorización.

      La autorización del Titular no será necesaria cuando se trate de:

      1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
      2. Datos de naturaleza pública;
      3. Casos de urgencia médica o sanitaria;
      4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
      5. Datos relacionados con el Registro Civil de las Personas.

      Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente Política.

   10. SUMINISTRO DE LA INFORMACIÓN AL TITULAR POR PARTE DE PRA

       La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

       10.1 Deber de Informar al Titular.

       PRA, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

       1. El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
       2. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
       3. Los derechos que le asisten como Titular.
       4. La identificación, dirección física o electrónica y teléfono de atención al Titular dispuesto por PRA.

   11. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO.

       Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

       1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
       2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
       3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
       4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
       5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
       6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
       7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
       8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
       9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
       10. Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
       11. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
       12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
       13. Informar a solicitud del Titular sobre el uso dado a sus datos.
       14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
       15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

   12. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO.

       Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

       1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
       2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
       3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
       4. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
       5. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
       6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
       7. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.
       8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
       9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio, o sea necesario respecto a la solicitud que presenta el Titular.
       10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
       11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
       12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

       12.1 Funciones y Obligaciones del Responsable del tratamiento

       Las obligaciones en materia de seguridad de los datos de PRA son las siguientes:

       1. Coordinar e implantar las medidas de seguridad recogidas en las Políticas de Seguridad de la información de la organización.
       2. Difundir los referidos documentos entre el personal afectado.
       3. Mantener las Políticas de Seguridad de la Información actualizadas y revisadas siempre que se produzcan cambios relevantes en el sistema de gestión de seguridad de la información, el sistema de tratamiento, la organización de la empresa, el contenido de la información de las bases de datos, o como consecuencia de los controles periódicos realizados. De igual modo, se revisará su contenido cuando se produzca algún cambio que pueda afectar al cumplimiento de las medidas de seguridad.
       4. Designar uno o más responsables de seguridad e identificar a los usuarios autorizados para acceder a las bases de datos de conformidad con la política de PRA.
       5. Cuidar que el acceso mediante sistemas y aplicaciones informáticas se lleve a cabo mediante acceso identificado y contraseña.
       6. Autorizar, salvo delegación expresa a usuarios autorizados e identificados, la salida de soportes fuera de los establecimientos donde se encuentran las bases de datos; las entradas y salidas de información por red, mediante dispositivos de almacenamiento electrónico o en papel; y el uso de módems y las descargas de datos.
       7. Verificar la correcta aplicación del procedimiento de copias de respaldo y recuperación de datos.
       8. Garantizar la existencia de una lista de usuarios autorizados y perfiles de usuario.
       9. Analizar, junto con el responsable de seguridad correspondiente, las incidencias registradas para establecer las medidas correctivas oportunamente.
       10. Realizar auditorías, internas o externas, para verificar el cumplimiento de las medidas de seguridad de la información y en materia de protección de datos.

   13. TERCEROS Y LA INFORMACIÓN PERSONAL

       Como se establece dentro de las finalidades con las cuales se recolecta y trata la información personal, PRA, para la adecuada prestación de sus servicios y adelantamiento de actividades de cobranza, acudirá en ocasiones a personas naturales o jurídicas para que con su colaboración se puedan realizar adecuadamente todas las labores y se preste el mejor servicio a los Titulares de las obligaciones crediticias. Para el desarrollo de las funciones de apoyo a las actividades de PRA tendrán, en ocasiones, que tener acceso a determinada información personal de la mantenida en sus bases de datos. En tal caso, PRA se encuentra comprometido a que:

       1. Toda información que se entregue a un tercero estará precedida de un acuerdo en donde consten sus obligaciones de confidencialidad y seguridad en el tratamiento de la información, las cuales serán, al menos similares a las establecidas por PRA en sus procesos;
       2. La información sólo será utilizada para el cumplimiento de las finalidades establecidas en estas políticas;
       3. El tercero sólo recibirá la información estrictamente necesaria para el cumplimiento de sus funciones.

   14. FUNCIONES Y OBLIGACIONES DE LOS USUARIOS COMO ENCARGADOS DE LA INFORMACIÓN

       Todas las personas que intervienen en el almacenamiento, tratamiento, consulta o cualquier otra actividad relacionada con los datos personales y sistemas de información de PRA deben actuar de conformidad a las funciones y obligaciones recogidas en el presente apartado.

       PRA cumple con el deber de mantener la información acerca de la inclusión en los acuerdos de confidencialidad y del secreto empresarial que suscriben, en su caso, los usuarios de sistemas de información y bases de datos de la organización.

       Las funciones y obligaciones del personal de PRA y COVINOC S.A., este último en su calidad de administrador de cartera, se definen, con carácter general, según el tipo de actividad que desarrollan dentro de la empresa y, específicamente, por el contenido de esta política. Con carácter general, cuando un usuario trate documentos o soportes que contiene datos personales tiene el deber de custodiarlos, así como de vigilar y controlar que personas no autorizadas no puedan tener acceso a ellos.

        

       El incumplimiento de las obligaciones y medidas de seguridad establecidas en esta política por parte del personal al servicio de PRA,  es sancionable de acuerdo a la normativa aplicable a la relación jurídica existente entre el usuario y la empresa.

       Las funciones y obligaciones de los usuarios de las bases de datos personales bajo responsabilidad de PRA son las siguientes:

       • Deber de secreto: Aplica a todas las personas que, en el desarrollo de su profesión o trabajo, acceden a bases de datos personales y vincula tanto a usuarios como a prestadores de servicios contratados; en cumplimiento de este deber, los usuarios de la empresa u organización no pueden comunicar o relevar a terceras personas, datos que manejen o de los que tengan conocimiento en el desempeño o cargo de sus funciones, y deben velar por la confidencialidad e integridad de los mismos.
       • Funciones de control y autorizaciones delegadas: El responsable del tratamiento puede delegar el tratamiento de datos a terceros, para que actúe como encargado del tratamiento, mediante un contrato de transmisión de datos.
       • Obligaciones relacionadas con las medidas de seguridad implantadas:
         • Acceder a las bases de datos con la solamente con la debida autorización y cuando sea necesario para el ejercicio de sus funciones.
         • No revelar información a terceras personas ni a usuarios no autorizados.
         • Observar las normas de seguridad y trabajar para mejorarlas.
         • No realizar acciones que supongan un peligro para la seguridad de la información.
         • No sacar información de las instalaciones de la organización sin la debida autorización.
       • Uso de recursos y materiales de trabajo: Debe estar orientado al ejercicio de las funciones asignadas. No se autoriza el uso de estos recursos y materiales para fines personales o ajenos a las tareas correspondientes al puesto de trabajo. Cuando, por motivos justificados de trabajo, sea necesaria la salida de dispositivos periféricos o extraíbles, deberá comunicarse al responsable de seguridad correspondiente que podrá autorizarla y, en su caso, registrarla.
       • Uso de impresoras, escáneres y otros dispositivos de copia: Cuando se utilicen este tipo de dispositivos debe procederse a la recogida inmediata de las copias, evitando dejar éstas en las bandejas de los mismos.
       • Obligación de notificar incidencias: Los usuarios tienen la obligación de notificar las incidencias de las que tenga conocimiento al responsable de seguridad que corresponda, quien se encargará de su gestión y resolución. Algunos ejemplos de incidencias son: la caída del sistema de seguridad informática que permita el acceso a los datos personales a personas no autorizadas, el intento no autorizado de la salida de un documento o soporte, la pérdida de datos o la destrucción total o parcial de soportes, el cambio de ubicación física de bases de datos, el conocimiento por terceras personas de contraseñas, la modificación de datos por personal no autorizado, etc.
       • Deber de custodia de los soportes utilizados: Obliga al usuario autorizado a vigilar y controlar que personas no autorizadas accedan a la información contenida en los soportes. Los soportes que contienen bases de datos deben identificar el tipo de información que contienen mediante un sistema de etiquetado y ser inventariados. Cuando la información esté clasificada con nivel de seguridad sensible el sistema de etiquetado solo debe ser comprensible para los usuarios autorizados a acceder a dicha información.
       • Responsabilidad sobre los terminales de trabajo y portátiles: Cada usuario es responsable de su propio terminal de trabajo; cuando esté ausente de su puesto, debe bloquear dicho terminal (ej. protector de pantalla con contraseña) para impedir la visualización o el acceso a la información que contiene; y tiene el deber de apagar el terminal al finalizar la jornada laboral. Asimismo, los ordenadores portátiles han de estar controlados en todo momento para evitar su pérdida o sustracción.
       • Uso limitado de Internet y correo electrónico: El envío de información por vía electrónica y el uso de Internet por parte del personal está limitado al desempeño de sus actividades en la empresa.
       • Salvaguarda y protección de contraseñas: Las contraseñas proporcionadas a los usuarios son personales e intransferibles, por lo que se prohíbe su divulgación o comunicación a personas no autorizadas. Cuando el usuario accede por primera vez con la contraseña asignada es necesario que la cambie. Cuando sea necesario restaurar la contraseña, el usuario debe comunicarlo al administrador del sistema.
       • Copias de respaldo y recuperación de datos: Debe realizarse copia de seguridad de toda la información de bases de datos personales de la empresa.
       • Deber de archivo y gestión de documentos y soportes: Los documentos y soportes deben de ser debidamente archivados con las medidas de seguridad recogidas en las Políticas de Seguridad de la Información y en el Manual de Seguridad de la Información.

   15. VERACIDAD Y CAMBIOS EN LA INFORMACIÓN SUMINISTRADA

       La información compartida con PRA debe ser completa, actual y veraz, resultando de entera responsabilidad de quien la otorga. Toda modificación en la Información suministrada a la entidad deberá ser notificada a PRA dentro de los cinco (5) días hábiles siguientes al acaecimiento de los hechos que condujeren a la modificación de los datos, a través del canal dispuesto para el efecto.

   16. MEDIDAS QUE ADOPTARÁ PRA

       PRA, adoptara las medidas técnica humanas y administrativas que sean necesarias para proteger y otorgar la seguridad a la información, evitando su adulteración, perdida, consulta u acceso no autorizado.

       16.1 Medidas de Seguridad aplicables al Trabajo en casa

       Cuando PRA por medio de COVINOC S.A acuerde con sus colaboradores la prestación de sus servicios de manera no presencial, el empleado dará cabal cumplimiento a las políticas y medidas contenidas en la presente política y tendrá en cuenta las siguientes medidas propias de la labor en la modalidad de trabajo en casa:

       • Solo se autoriza el trabajo en casa desde equipos de cómputo asignados o autorizados por PRA, COVINOC S.A o sus entidades aliadas, y que cumplan con requisitos para establecer una comunicación segura a través de VPN a los sistemas de cómputo, computadores de la empresa o sistemas de información.
       • La conexión a los sistemas de cómputo, computadores de la empresa o sistemas de información de únicamente se debe realizar desde la VPN que asigne PRA, COVINOC S.A o sus entidades aliadas a través del acceso habilitado por medio de usuario y contraseña (en el caso de aplicativos o portales web) establecidos en la organización.
       • Únicamente se autorizará el uso de sistemas de almacenamiento en la nube previamente validados por el área de seguridad de la información.
       • No se autoriza salida o intercambio de información en medio físico para efectos de trabajo en casa.
       • La conexión a los sistemas de cómputo, computadores de la empresa o sistemas de información, debe realizarse desde sitios seguros, preferiblemente a través de redes domésticas.
       • Al retirar un equipo de cómputo se debe velar por su cuidado no exponiéndolo, ni abandonándolo en lugares públicos o privados, y en viajes debe siempre tenerlo consigo llevándolo como equipaje de mano y nunca almacenándolo en la bodega de carga.
       • Se realizará monitoreo permanente a los tiempos de navegación y páginas de internet visitadas por los empleados a través del canal de salida a internet establecido en la organización. Así mismo, se podrá inspeccionar, registrar y evaluar las actividades realizadas durante la navegación en el internet proporcionado por medio de la red propia, de acuerdo a la normatividad aplicable.
       • Todo uso indebido de la información y del entorno físico es responsabilidad del empleado.

       16.2      Seguridad, filmaciones y comunicaciones

       PRA y COVINOC S.A., este último en su calidad de administrador de la cartera dentro de sus políticas de calidad, seguridad, monitoreo de sus actividades, controles de entrada y salida de sus oficinas y actualización o complemento de la información mantenida en sus bases de datos, realizará grabaciones de audio y video en sus oficinas y sitios comunes. Tales grabaciones tendrán una duración en los archivos de las entidad, de un máximo de cinco (5) años para posteriormente ser objeto de borrado o destrucción, salvo que deba conservarlos para efecto de dar cumplimiento a normas vigentes o deberes contractuales. Igualmente COVINOC S.A., hará uso de las tecnologías de la información para la remisión de diversas comunicaciones tales como el envío de extractos de cuenta, certificaciones, comunicaciones de interés y avisos de reporte a los Operadores de Información.

       COVINOC S.A., en su calidad de administrador de las carteras adquiridas por PRA, ha puesto a disposición de sus clientes y Titulares la página web www.covinoc.com. Así mismo, COVINOC S.A. está comprometido a efectuar un adecuado uso y tratamiento de los datos personales de los Titulares, con el fin de evitar al máximo el acceso no autorizado a terceros que permita conocer o vulnerar, modificar, divulgar y/o destruir la información que reposa en las bases de datos de PRA.

       COVINOC S.A. como administrador de las carteras adquiridas por PRA cuenta con protocolos de seguridad y acceso a sus sistemas de información, almacenamiento y procesamiento incluidas medidas físicas de control de riesgos de seguridad. En caso que el Titular suministre algún tipo de información a través del portal web o internet, él mismo es consciente que conoce y acepta que ninguna transmisión por internet es absolutamente segura, ni puede garantizarse dicho extremo, por lo tanto, asume y conoce que eventualmente podrá generarse un riesgo de vulnerabilidad.

       Por su parte, es entendido que el Titular manifiesta que ha implementado los controles de seguridad necesarios, en sus equipos y redes privadas para su navegación hacia el portal web de COVINOC S.A. o para el envío de correos electrónicos a direcciones de PRA o COVINOC S.A.. Así mismo, COVINOC S.A. cuenta con mecanismos de seguridad acordes con los servicios que ofrece; no obstante lo anterior, COVINOC S.A. no se responsabiliza por cualquier consecuencia derivada del ingreso fraudulento por parte de terceros a la base de datos y por alguna falla técnica en el funcionamiento que sobrepasen las actividades desarrolladas con la debida diligencia.

   17. REVELACIÓN DE LA INFORMACIÓN

       El Titular, con la aceptación de la presente política de privacidad, declara conocer que PRA, puede suministrar esta información a sus filiales, aliados y a las entidades judiciales o administrativas y demás entidades del Estado que en ejercicio de sus funciones, soliciten esta información.

   18. MODIFICACIONES A LAS POLÍTICAS

       PRA se reserva el derecho de modificar la Política de Privacidad de la Información de carácter personal en cualquier momento y de manera unilateral. Para el efecto realizará la publicación de un aviso en la página de internet www.covinoc.com. En caso de no estar de acuerdo por razones válidas y que se constituyan en una justa causa con las nuevas políticas de manejo de la información personal, los Titulares de la información o sus representantes podrán solicitar a PRA el retiro de su información a través del medio indicado anteriormente, sin embargo, no se podrá solicitar el retiro de los datos mientras se mantenga un vínculo de cualquier orden con PRA.

   19. ÁMBITO DE APLICACIÓN

       La presente política aplica a partir de su publicación, para todos los empleados, contratistas y terceras partes, que tengan acceso a la información, a los sistemas, procesos y equipos utilizados dentro del desarrollo del trabajo perteneciente a PRA.

       Toda interpretación, actuación judicial o administrativa derivada del tratamiento de los datos personales que conforman las bases de datos de PRA y la presente declaración de privacidad estará sujeta a las normas de protección personal establecidas en la República de Colombia y las autoridades administrativas o jurisdiccionales competentes para la resolución de cualquier inquietud, queja o demanda sobre las mismas serán las de la República de Colombia.

Fecha de publicación y entrada en vigencia: Octubre 31 de 2018.
Fecha de Actualización: Septiembre 15 de 2021.