Política RCB Group Colombia Holding S.A.S.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
Y LA PRIVACIDAD DE LA INFORMACIÓN PERSONAL


1. OBJETIVO

RCB GROUP COLOMBIA HOLDING S.A.S. (En adelante RCB) identificada con NIT No. 901127873-8, presenta a conocimiento de los titulares de la información su Política de Protección de Datos Personales y la Privacidad de la Información Personal. En esa medida, el tratamiento de los datos personales está sujeto a las normas vigentes en la República de Colombia sobre Protección de Datos Personales las cuales constituyen el marco regulatorio sobre el cual RCB, realiza sus procesos y adelanta sus actividades.

2. ALCANCE Y ÁMBITO DE APLICACIÓN 

Buscando proteger los datos y la privacidad de la información personal de nuestros afiliados, clientes, colaboradores, empleados, empleados externos, contratistas, asesores, aliados estratégicos, proveedores, entre otros (en adelante Usuarios) y en cumplimiento de la Ley Estatutaria 1581 de 2012 y su decreto reglamentario 1377 de 2013, y basados en los requerimientos establecidos en la Norma NTC – ISO 27001:2013; se establece la presente Política de Protección de Datos Personales y la Privacidad de la Información Personal, la cual aplica para el tratamiento de datos personales de los Usuarios.

Igualmente, RCB informa que ha conservado en bases de datos, los datos personales de clientes, colaboradores, anunciantes, aliados estratégicos, proveedores, entre otros. En consecuencia y para efectos de dar cumplimiento a las disposiciones legales aplicables ya enunciadas y para brindar una mejor atención al Usuario, RCB se permite informar los términos y condiciones de tratamiento en calidad de responsable y encargado de los datos personales, su política de privacidad, así como los procedimientos establecidos para que el USUARIO pueda ejercer los derechos señalados en la normatividad aplicable a la materia.

Cuando el Titular de los datos presta su consentimiento para que estos formen parte de una base de datos de una organización u empresa, pública o privada, ésta se hace responsable del tratamiento de estos datos y adquiere una serie de obligaciones, como son la de tratar dichos datos con seguridad y cautela, velar por su integridad y aparecer como órgano a quien el titular puede dirigirse para el seguimiento de la información y el control de la misma, pudiendo ejercitar los derechos de consultas y reclamos.

3. BASE LEGAL

La presente Política de Protección de Datos Personales y la Privacidad de la Información Personal, se desarrolla buscando dar cumplimiento a los artículos 15 y 20 de la Constitución Política; de los artículos 17, literal k), y 18, literal f), a la Ley Estatutaria 1581 de 2012, “Por la cual se dictan disposiciones generales para la Protección de Datos Personales” (en adelante LEPD); y el artículo 13 del Decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”. Lo anterior relacionado con el derecho a la Protección de los Datos que tiene como finalidad, permitir a todas las personas conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en archivos o bases de datos.

4. RESPONSABLES

El responsable del tratamiento de las bases de datos objeto de esta política es RCB, cuyos datos de contacto son los siguientes:

Si bien la responsabilidad del tratamiento de los datos recae en RCB en su calidad de responsable del tratamiento, sus competencias se materializan en las funciones que corresponden a su personal de servicio.

El personal de RCB con acceso, directo o indirecto, a bases de datos que contienen datos personales han de conocer la Política de Protección de Datos Personales y la Privacidad de la Información Personal y las demás políticas de seguridad de la información de la organización; y deben cumplir con las obligaciones en materia de seguridad de los datos correspondientes a sus funciones y cargo.

Por consiguiente todos los trabajadores de RCB son responsables de la aplicación de esta Política de Protección de Datos Personales y la Privacidad de la Información Personal.

Conforme a lo anterior todos los procesos de RCB que reciban, procesen y tengan acceso a la información de nuestros USUARIOS son responsables de proteger dicha información, contra el mal uso que se dé a la misma y/o divulgación no autorizada por el dueño y/o titular de la información (USUARIO).

El proceso de Seguridad de la Información, con el apoyo de la Secretaria General, son los responsables de la actualización y divulgación del presente documento a todo el personal.

5. DEFINICIONES

  • Autorización: Consentimiento previo, expreso e informado del USUARIO para llevar a cabo el Tratamiento de sus datos personales.

  • Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al USUARIO para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

  • Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del USUARIO o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales, de conformidad con las políticas para el Tratamiento de Datos fijada por el Operador de la Información, por cuenta del Responsable del Tratamiento.

  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

  • Usuario: Persona natural cuyos datos personales sean objeto de Tratamiento.

  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, procesamiento, circulación o supresión de datos.

6. PRINCIPIOS QUE SE TENDRÁN EN CUENTA PARA EL TRATAMIENTO DE DATOS PERSONALES EN RCB

El artículo 4 de la Ley Estatutaria 1581 de 2012 establece los principios para el tratamiento de datos personales que se han de aplicar, de manera armónica e integral, en el desarrollo, interpretación y aplicación de la Ley.

En el desarrollo y aplicación de la presente Política, RCB aplicará, de manera armónica e integral, los siguientes principios:

  1. Principio de legalidad en materia de Tratamiento de datos: El tratamiento a que se refiere la presente política es una actividad regulada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

  2. Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al USUARIO.

  3. Principio de libertad: Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del USUARIO por cualquier medio que permita ser consultado con posterioridad, salvo en los siguientes casos que exceptúa el artículo 10 de la Ley Estatutaria 1581 de 2012:

    • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
    • Datos de naturaleza pública.
    • Casos de urgencia médica o sanitaria.
    • Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos.
    • Datos relacionados con el Registro Civil de las personas.
  4. Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

  5. Principio de transparencia: En el tratamiento debe garantizarse el derecho del USUARIO a obtener del Responsable del tratamiento (RCB) o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.

  6. Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales. El tratamiento sólo podrá hacerse por personas autorizadas por el USUARIO y/o por las personas previstas para la ejecución de los procesos internos dentro de RCB.

    Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los USUARIOS o terceros autorizados.

  7. Principio de seguridad: La información sujeta a tratamiento por RCB, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El responsable del tratamiento tiene la responsabilidad de implantar las medidas de seguridad correspondientes y de ponerlas en conocimiento todo personal que tenga acceso, directo o indirecto, a los datos. Los usuarios que accedan a los sistemas de información del responsable del tratamiento deben conocer y cumplir con las normas y medidas de seguridad que correspondan a sus funciones. Estas normas y medidas de seguridad se recogen en el Manual de Seguridad de la Información, de obligado cumplimiento para todo usuario y personal de la empresa. Cualquier modificación de las normas y medidas en materia de seguridad de datos personales por parte del responsable del tratamiento ha de ser puesta en conocimiento de los usuarios.

  8. Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente Política y en los términos de la misma.

6.1. Tratamiento de Datos Personales en RCB

Como parte de las actividades de cobranza, recuperación de cartera, actualización de datos, reporte a operadores de información, contacto a clientes y usuarios, así como los destinados a mantener las adecuadas condiciones de seguridad y atención de nuestros USUARIOS, y en general, para el desarrollo de las diferentes actividades adelantadas por RCB, será requerida la entrega de diferentes datos personales acordes con las finalidades expuestas en esta política, tales como pero sin limitarse a: nombre, dirección, edad, así como otra información de contacto como número de teléfono y dirección física / electrónica e información específica en torno a referencias de las condiciones económicas del Usuario en su calidad de deudor de las carteras propias de RCB, así como otra información relevante encaminada a facilitar el ejercicio de las actividades propias de RCB.

La información personal no será utilizada o tratada con propósitos diferentes a los aquí manifestados. RCB podrá llevar a cabo el tratamiento de los datos en sus propios servidores, en los servidores de las personas jurídicas contratadas para efectuar las gestiones de administración y cobro de las obligaciones contenidas en las carteras de RCB o en aquellos provistos por un tercero especializado en la materia y estos podrán estar ubicados en Colombia o en otros países. De igual forma, RCB se encuentra comprometida con la confidencialidad y el manejo apropiado de las bases de datos atendiendo a las políticas sobre tratamiento de la información establecida en nuestra legislación vigente.

6.1.1. Finalidades del tratamiento de la información

La información del USUARIO se requiere para ser recopilada, usada, procesada, compartida, e incorporada en la base de datos de RCB y en general se le dará tratamiento con el fin de:

  1. Ser contactado para renovaciones, negociaciones, ofrecimiento de servicios, ser informado e invitado a participar en eventos, capacitaciones, obtención de beneficios.

  2. Enviar información de carácter comercial, promocional o invitaciones de RCB o sus aliados estratégicos.

  3. Realizar encuestas y/o sondeos de opinión sobre los servicios de RCB.

  4. Evaluar la calidad de los servicios.

  5. Recopilar información del Usuario respecto de carteras propias.

  6. Actualizar los datos personales de USUARIOS, a través de diferentes actividades como lo son la consulta en bases de datos públicas y de referenciación de terceras personas.

  7. Realizar consulta y reportes de las obligaciones vigentes o en mora de su cartera a las centrales de riesgo crediticio legalmente establecidas.

  8. Realizar actividades de cobranza, recuperación de cartera, geo-referenciación, estudios estadísticos de comportamiento crediticio, ubicación de deudores a través de interpretación e interacción de datos de diversas fuentes.

  9. Enviar información sobre actividades desarrolladas por RCB. o envío de información que se considere de interés.

  10. Ser contactado para informar sobre el proceso de cobranza de las obligaciones, informando sobre el estado de su obligación e invitándolo a la normalización de su obligación.

  11. Actualizar las bases de datos de RCB para el logro de un proceso de cobranza efectivo de la cartera propia.

  12. Dar cumplimiento a las obligaciones legales de información a los entes administrativos, así como autoridades judiciales competentes que así lo requieran.

  13. Compartirla con terceros que colaboran con RCB y que para el cumplimiento de sus funciones deben acceder en alguna medida a la información, tales como, proveedores del servicio de call y contac center, proveedores del servicio de mensajería, proveedores del servicio de facturación, como a COVINOC S.A. en su calidad de administradora integral del Portafolio de Cartera de RCB, la cual, entre otras funciones, realiza las gestiones de cobranza y recuperación de cartera. Adicional a lo anterior, para compartirla con los profesionales del derecho que colaboran con RCB en el desarrollo de su objeto social. En todo caso, esas entidades y personas estarán igualmente sujetas a las mismas obligaciones de confidencialidad en el manejo de la información a que está sujeta RCB con las limitaciones legales impuestas por las leyes aplicables sobre la materia en Colombia.

  14. Realizar la consulta y reporte de las obligaciones a los Operadores de Información.

Así mismo, el USUARIO del dato conoce y acepta que todos sus datos podrán ser utilizados para promocionar, promover, enviar, elaborar, remitir, procesar, y de manera general, llevar a cabo concursos o jornadas de carácter publicitario de RCB, de sus aliados o vinculados, respecto a cartera propia, a través del envío de e-mail, mensajes de texto, o a través de cualquier medio análogo y/o digital de comunicación vigente o que se desarrolle posteriormente.

6.2. Tratamiento de Datos Sensibles

Esta información personal se incluye en una categoría especial por estar relacionada con datos médicos de carácter confidencial, información sobre raza u origen étnico, creencias religiosas, ideología política, sexualidad, condiciones de desplazamiento o calamidad y datos biométricos. En caso de requerirse este tipo de información para el adecuado desarrollo de las actividades adelantadas por RCB, los USUARIOS deberán otorgar su autorización expresa, la cual deberá hacerse siempre de manera libre y voluntaria. RCB acepta el carácter facultativo de la respuesta a las preguntas que sean efectuadas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; sin embargo, tales respuestas no podrán ser omitidas cuando los datos que se están requiriendo vayan a ser utilizados en la labor de cobranza dentro del marco legalmente permitido.

6.2.1. Se prohíbe el tratamiento de datos sensibles, excepto cuando:
  1. El USUARIO haya dado a RCB su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
  2. El tratamiento sea necesario para salvaguardar el interés vital del USUARIO y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
  3. El tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del USUARIO;
  4. El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
  5. El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los USUARIOS.

6.3. Derechos de los Usuarios

De acuerdo con la legislación colombiana vigente, en particular la Constitución Política y la Ley 1581 de 2012, los USUARIOS, sus representantes legales o sus causahabientes tienen derecho a:

  1. Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

  2. Solicitar prueba de la autorización otorgada a RCB salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley Estatutaria 1581 de 2012;

  3. Ser informados por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que se le ha dado a sus datos personales;

  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente Política y las demás normas que la modifiquen, adicionen o complementen;

  5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento RCB ha incurrido en conductas contrarias a la presente Política y en consecuencia con la ley Estatutaria 1581 de 2012, su Decreto Reglamentario 1377 de 2013 y a la Constitución;

  6. Acceder en forma gratuita a los datos personales que hayan sido objeto de Tratamiento cada vez que existan modificaciones sustanciales a estas políticas de tratamiento de la información que motiven nuevas consultas.

 

Para que el USUARIO ejerza sus derechos podrá contactarse a RCB a través de comunicación escrita dirigida a nuestra área de atención al cliente a la siguiente dirección; Calle 70A No. 4 – 41 en la ciudad de Bogotá D.C., o al correo electrónico pkon@itapevarec.com.br. La comunicación referida deberá contener todos los datos necesarios y aplicables al derecho de petición para efectos de garantizar la oportuna y efectiva respuesta, acompañada de una descripción clara y precisa de los datos personales respecto de los cuales el USUARIO busca ejercer sus derechos; así mismo, en el evento de no actuar directamente, el interesado deberá acreditar formalmente la calidad en que actúa. RCB dará respuesta al peticionario dentro de los términos establecidos por la Ley 1581 de 2012. Es de anotar que mientras el USUARIO de la información aparezca como deudor de obligaciones de RCB, la información será mantenida y el USUARIO carecerá de facultades para solicitar la supresión de la información de las bases de datos. Si la solicitud de retiro se hace con posterioridad a la cancelación total y efectiva de la obligación y/o a finalizada la relación legal o contractual, la eliminación de los datos significará que los mismos no podrán ser accesibles para el desarrollo de las operaciones normales de RCB, sin embargo podrán mantenerse en sus archivos con fines estadísticos, históricos o atención de requerimiento de autoridades administrativas o judiciales.

6.4. Derechos de los Niños, Niñas y Adolescentes

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes requisitos:

  • Que responda y respete el interés superior de los niños, niñas y adolescentes.

  • Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor a su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

Es responsabilidad de los representantes legales y tutores conocer los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás.

Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos, cumpliendo en todo momento con los principios y obligaciones recogidos en la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y la presente política. En todo caso, el tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.

Los derechos de acceso, corrección, supresión, revocación o reclamo por infracción sobre los datos de los niños, niñas adolescentes se ejercerán por las personas que estén facultadas para representarlos.

6.5. Autorización del Usuario.

Sin perjuicio de las excepciones previstas en la presente política, y conforme a la ley Estatutaria 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, en el Tratamiento se requiere la autorización previa e informada del USUARIO, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Mediante la aceptación de la presente política, todo USUARIO que facilite información relativa a sus datos personales está consintiendo el tratamiento de sus datos por parte de RCB, en los términos y condiciones recogidos en la misma.

6.6. Casos en que no es Necesaria la Autorización

La autorización del USUARIO no será necesaria cuando se trate de:

  1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

  2. Datos de naturaleza pública;

  3. Casos de urgencia médica o sanitaria;

  4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

  5. Datos relacionados con el Registro Civil de las Personas.

Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente Política.

6.7. Suministro de la Información al Usuario por Parte de RCB

La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el USUARIO. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.

6.8. Deber de Informar al Usuario

En RCB, al momento de solicitar al USUARIO la autorización, deberá informarle de manera clara y expresa lo siguiente:

  1. El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.

  2. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

  3. Los derechos que le asisten como USUARIO.

  4. La identificación, dirección física o electrónica y teléfono de atención al USUARIO dispuesto por RCB.

6.9. Deberes de los Responsables del Tratamiento

Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

  1. Garantizar al USUARIO, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

  2. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el USUARIO.

  3. Informar debidamente al USUARIO sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

  4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

  6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

  7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

  8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

  9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del USUARIO.

  10. Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

  11. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.

  12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del USUARIO, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

  13. Informar a solicitud del USUARIO sobre el uso dado a sus datos.

  14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los USUARIOS.

  15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

6.10. Deberes de los Encargados del Tratamiento

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

  1. Garantizar al USUARIO, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

  2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

  4. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

  5. Tramitar las consultas y los reclamos formulados por los USUARIOS en los términos señalados en la presente ley.

  6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los USUARIOS.

  7. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley.

  8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

  9. Abstenerse de circular información que esté siendo controvertida por el USUARIO y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

  10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

  11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los USUARIOS.

  12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

6.11. Funciones y Obligaciones del Responsable del tratamiento

Las obligaciones en materia de seguridad de los datos de RCB son las siguientes:

  1. Coordinar e implantar las medidas de seguridad recogidas en las Políticas de Seguridad de la información de la organización.

  2. Difundir los referidos documentos entre el personal afectado.

  3. Mantener las Políticas de Seguridad de la Información actualizadas y revisadas siempre que se produzcan cambios relevantes en el sistema de gestión de seguridad de la información, el sistema de tratamiento, la organización de la empresa, el contenido de la información de las bases de datos, o como consecuencia de los controles periódicos realizados. De igual modo, se revisará su contenido cuando se produzca algún cambio que pueda afectar al cumplimiento de las medidas de seguridad.

  4. Designar uno o más responsables de seguridad e identificar a los usuarios autorizados para acceder a las bases de datos en el Manual de Seguridad de la Información.

  5. Cuidar que el acceso mediante sistemas y aplicaciones informáticas se lleve a cabo mediante acceso identificado y contraseña.

  6. Autorizar, salvo delegación expresa a usuarios autorizados e identificados, la salida de soportes fuera de los establecimientos donde se encuentran las bases de datos; las entradas y salidas de información por red, mediante dispositivos de almacenamiento electrónico o en papel; y el uso de módems y las descargas de datos.

  7. Verificar la correcta aplicación del procedimiento de copias de respaldo y recuperación de datos.

  8. Garantizar la existencia de una lista de usuarios autorizados y perfiles de usuario.

  9. Analizar, junto con el responsable de seguridad correspondiente, las incidencias registradas para establecer las medidas correctivas oportunamente.

  10. Realizar auditorías, internas o externas, para verificar el cumplimiento de las medidas de seguridad de la información y en materia de protección de datos.

6.12. Terceros y la Información Personal

Como se establece dentro de las finalidades con las cuales se recolecta y trata la información personal, RCB, para la adecuada prestación de sus servicios y adelantamiento de actividades de cobranza, acudirá en ocasiones a personas naturales o jurídicas para que con su colaboración se puedan realizar adecuadamente todas las labores y se preste el mejor servicio a USUARIOS, clientes y titulares de las obligaciones crediticias. Para el desarrollo de las funciones de apoyo a las actividades de RCB tendrán, en ocasiones, que tener acceso a determinada información personal de la mantenida en sus bases de datos. En tal caso, RCB se encuentra comprometido a que:

  1. Toda información que se entregue a un tercero estará precedida de un acuerdo en donde consten sus obligaciones de confidencialidad y seguridad en el tratamiento de la información, las cuales serán, al menos similares a las establecidas por RCB en sus procesos;

  2. La información sólo será utilizada para el cumplimiento de las finalidades establecidas en estas políticas;

  3. El tercero sólo recibirá la información estrictamente necesaria para el cumplimiento de sus funciones.

6.13. Funciones y Obligaciones de los Usuarios

Todas las personas que intervienen en el almacenamiento, tratamiento, consulta o cualquier otra actividad relacionada con los datos personales y sistemas de información de RCB deben actuar de conformidad a las funciones y obligaciones recogidas en el presente apartado.

RCB cumple con el deber de mantener la información acerca de la inclusión en los acuerdos de confidencialidad y del secreto empresarial que suscriben, en su caso, los usuarios de sistemas de información y bases de datos de la organización.

Las funciones y obligaciones del personal de RCB y COVINOC S.A., este último en su calidad de administrador de cartera, se definen, con carácter general, según el tipo de actividad que desarrollan dentro de la empresa y, específicamente, por el contenido de esta política. Con carácter general, cuando un usuario trate documentos o soportes que contiene datos personales tiene el deber de custodiarlos, así como de vigilar y controlar que personas no autorizadas no puedan tener acceso a ellos.

El incumplimiento de las obligaciones y medidas de seguridad establecidas en esta política por parte del personal al servicio de RCB y COVINOC S.A., es sancionable de acuerdo a la normativa aplicable a la relación jurídica existente entre el usuario y la empresa.

Las funciones y obligaciones de los usuarios de las bases de datos personales bajo responsabilidad de RCB son las siguientes:

  • Deber de secreto: Aplica a todas las personas que, en el desarrollo de su profesión o trabajo, acceden a bases de datos personales y vincula tanto a usuarios como a prestadores de servicios contratados; en cumplimiento de este deber, los usuarios de la empresa u organización no pueden comunicar o relevar a terceras personas, datos que manejen o de los que tengan conocimiento en el desempeño o cargo de sus funciones, y deben velar por la confidencialidad e integridad de los mismos.

  • Funciones de control y autorizaciones delegadas: El responsable del tratamiento puede delegar el tratamiento de datos a terceros, para que actúe como encargado del tratamiento, mediante un contrato de transmisión de datos.

  • Obligaciones relacionadas con las medidas de seguridad implantadas:

    • Acceder a las bases de datos con la solamente con la debida autorización y cuando sea necesario para el ejercicio de sus funciones.

    • No revelar información a terceras personas ni a usuarios no autorizados.

    • Observar las normas de seguridad y trabajar para mejorarlas.

    • No realizar acciones que supongan un peligro para la seguridad de la información.

    • No sacar información de las instalaciones de la organización sin la debida autorización.

  • Uso de recursos y materiales de trabajo: Debe estar orientado al ejercicio de las funciones asignadas. No se autoriza el uso de estos recursos y materiales para fines personales o ajenos a las tareas correspondientes al puesto de trabajo. Cuando, por motivos justificados de trabajo, sea necesaria la salida de dispositivos periféricos o extraíbles, deberá comunicarse al responsable de seguridad correspondiente que podrá autorizarla y, en su caso, registrarla.

  • Uso de impresoras, escáneres y otros dispositivos de copia: Cuando se utilicen este tipo de dispositivos debe procederse a la recogida inmediata de las copias, evitando dejar éstas en las bandejas de los mismos.

  • Obligación de notificar incidencias: Los usuarios tienen la obligación de notificar las incidencias de las que tenga conocimiento al responsable de seguridad que corresponda, quien se encargará de su gestión y resolución. Algunos ejemplos de incidencias son: la caída del sistema de seguridad informática que permita el acceso a los datos personales a personas no autorizadas, el intento no autorizado de la salida de un documento o soporte, la pérdida de datos o la destrucción total o parcial de soportes, el cambio de ubicación física de bases de datos, el conocimiento por terceras personas de contraseñas, la modificación de datos por personal no autorizado, etc.

  • Deber de custodia de los soportes utilizados: Obliga al usuario autorizado a vigilar y controlar que personas no autorizadas accedan a la información contenida en los soportes. Los soportes que contienen bases de datos deben identificar el tipo de información que contienen mediante un sistema de etiquetado y ser inventariados. Cuando la información esté clasificada con nivel de seguridad sensible el sistema de etiquetado solo debe ser comprensible para los usuarios autorizados a acceder a dicha información.

  • Responsabilidad sobre los terminales de trabajo y portátiles: Cada usuario es responsable de su propio terminal de trabajo; cuando esté ausente de su puesto, debe bloquear dicho terminal (ej. protector de pantalla con contraseña) para impedir la visualización o el acceso a la información que contiene; y tiene el deber de apagar el terminal al finalizar la jornada laboral. Asimismo, los ordenadores portátiles han de estar controlados en todo momento para evitar su pérdida o sustracción.

  • Uso limitado de Internet y correo electrónico: El envío de información por vía electrónica y el uso de Internet por parte del personal está limitado al desempeño de sus actividades en la empresa.

  • Salvaguarda y protección de contraseñas: Las contraseñas proporcionadas a los usuarios son personales e intransferibles, por lo que se prohíbe su divulgación o comunicación a personas no autorizadas. Cuando el usuario accede por primera vez con la contraseña asignada es necesario que la cambie. Cuando sea necesario restaurar la contraseña, el usuario debe comunicarlo al administrador del sistema.

  • Copias de respaldo y recuperación de datos: Debe realizarse copia de seguridad de toda la información de bases de datos personales de la empresa.

  • Deber de archivo y gestión de documentos y soportes: Los documentos y soportes deben de ser debidamente archivados con las medidas de seguridad recogidas en las Políticas de Seguridad de la Información y en el Manual de Seguridad de la Información.

6.13.1. Veracidad y cambios en la información suministrada

La información compartida con RCB debe ser completa, actual y veraz, resultando de entera responsabilidad de quien la otorga. Toda modificación en la Información suministrada a la entidad deberá ser notificada a RCB dentro de los cinco (5) días hábiles siguientes al acaecimiento de los hechos que condujeren a la modificación de los datos, a través del canal dispuesto para el efecto.

6.14. Medidas que Adoptará RCB

RCB, adoptara las medidas técnica humanas y administrativas que sean necesarias para proteger y otorgar la seguridad a la información, evitando su adulteración, perdida, consulta u acceso no autorizado.

6.14.1. Seguridad, filmaciones y comunicaciones

RCB y COVINOC S.A., este último en su calidad de administrador de la cartera dentro de sus políticas de calidad, seguridad, monitoreo de sus actividades, controles de entrada y salida de sus oficinas y actualización o complemento de la información mantenida en sus bases de datos, realizará grabaciones de audio y video en sus oficinas y sitios comunes de COVINOC S.A. Tales grabaciones tendrán una duración en los archivos de las entidad, de un máximo de 5 años para posteriormente ser objeto de borrado o destrucción, salvo que deba conservarlos para efecto de dar cumplimiento a normas vigentes o deberes contractuales. Igualmente COVINOC S.A., hará uso de las tecnologías de la información para la remisión de diversas comunicaciones tales como el envío de extractos de cuenta, certificaciones, comunicaciones de interés y avisos de reporte a los Operadores de Información.

COVINOC S.A., administrador de la cartera adquirida por RCB, ha puesto a disposición de sus clientes y USUARIOS la página web www.covinoc.com. Así mismo, COVINOC S.A. está comprometido a efectuar un adecuado uso y tratamiento de los datos personales de los USUARIOS, con el fin de evitar al máximo el acceso no autorizado a terceros que permita conocer o vulnerar, modificar, divulgar y/o destruir la información que reposa en las bases de datos de RCB.

Por lo anterior, COVINOC S.A. cuenta con protocolos de seguridad y acceso a sus sistemas de información, almacenamiento y procesamiento incluidas medidas físicas de control de riesgos de seguridad. En el caso que el USUARIO suministre algún tipo de información a través del portal web o internet, él mismo es consciente que conoce y acepta que ninguna transmisión por internet es absolutamente segura, ni puede garantizarse dicho extremo, por lo tanto, asume y conoce que eventualmente podrá generarse un riesgo de vulnerabilidad. Por su parte, es entendido que el USUARIO manifiesta que ha implementado los controles de seguridad necesarios, en sus equipos y redes privadas para su navegación hacia el portal web de COVINOC S.A. o para el envío de correos electrónicos a direcciones de RCB y COVINOC S.A.. Así mismo, COVINOC S.A. Cuenta con mecanismos de seguridad acordes con los servicios que ofrece; no obstante lo anterior, COVINOC S.A. no se responsabiliza por cualquier consecuencia derivada del ingreso fraudulento por parte de terceros a la base de datos y por alguna falla técnica en el funcionamiento que sobrepasen las actividades desarrolladas con la debida diligencia.

6.15. Revelación de la Información

El USUARIO, con la aceptación de la presente política de privacidad, declara conocer que RCB, puede suministrar esta información a sus filiales y a las entidades judiciales o administrativas y demás entidades del Estado que en ejercicio de sus funciones, soliciten esta información.

6.16. Modificaciones a las Políticas

RCB se reserva el derecho de modificar la Política de Privacidad de la Información de carácter personal en cualquier momento y de manera unilateral. Para el efecto realizará la publicación de un aviso en la página de internet www.covinoc.com con diez (10) días hábiles de antelación a su entrada en vigencia. En caso de no estar de acuerdo por razones válidas y que se constituyan en una justa causa con las nuevas políticas de manejo de la información personal, los USUARIOS de la información o sus representantes podrán solicitar a RCB el retiro de su información a través del medio indicado anteriormente, sin embargo no se podrá solicitar el retiro de los datos mientras se mantenga un vínculo de cualquier orden con RCB. El uso permanente de los servicios con RCB o no desvinculación de los mismos por el USUARIO después de la notificación de la nueva política de privacidad constituye la aceptación de la misma por parte del mismo.

6.17. Ámbito de Aplicación

La presente política aplica a partir de su publicación, para todos los empleados, contratistas y terceras partes, que tengan acceso a la información, a los sistemas, procesos y equipos utilizados dentro del desarrollo del trabajo perteneciente a RCB.

Toda interpretación, actuación judicial o administrativa derivada del tratamiento de los datos personales que conforman las bases de datos de RCB y la presente declaración de privacidad estará sujeta a las normas de protección personal establecidas en la República de Colombia y las autoridades administrativas o jurisdiccionales competentes para la resolución de cualquier inquietud, queja o demanda sobre las mismas serán las de la República de Colombia.

Fecha de publicación y entrada en vigencia: Octubre 31 de 2018