La Junta Directiva de BANCA MUTUAL, en uso de sus atribuciones legales y
estatutarias, establece lo siguiente:
POLÍTICA DE TRATAMIENTOS DE DATOS PERSONALES
Responsable del tratamiento: BANCA MUTUAL
BANCA MUTUAL se encuentra comprometida con la protección de la información
obtenida dentro del giro ordinario de sus actividades. Por lo tanto, la presente
política se fundamente en la normatividad vigente, siendo nuestra intención
recolectar exclusivamente la información obtenida voluntariamente por nuestros
proveedores, clientes, empleados, contratistas, exempleados o terceros que por
alguna razón han entregado su información mediante los diferentes tipos de relación,
para cumplir con nuestras obligaciones legales.
En cumplimiento de los dispuesto en el artículo 15 de la Constitución Política, la Ley
1582 de 2012 y sus decretos reglamentarios, BANCA MUTUAL informa a todas las
personas naturales que faciliten o hayan facilitado sus datos personales, el
contenido de la presente política de tratamiento de datos personales:
1. NORMATIVA LEGAL Y ÁMBITO DE APLICACIÓN
Esta política será aplicada de manera extensiva por BANCA MUTUAL en todas
aquellas actividades que impliquen el tratamiento de datos personales, tales como
recolección, almacenamiento, uso, circulación, supresión, entre otras.
2. DEFINICIONES
Con el objetivo de determinar, de una forma sencilla, el significado de vocablo
técnico utilizado en materia de protección de datos, todo titular de datos personales
deberá entender los siguientes términos:
a. Autorización: consentimiento previo (o concurrente), expreso e informado del
titular para autorizar y permitir el Tratamiento de sus Datos Personales.
b. Aviso de privacidad: comunicación verbal o escrita generada por el
responsable, dirigida al titular para el tratamiento de sus datos personales,
mediante la cual se le informa acerca de la existencia de las políticas de
tratamiento de datos personales que le serán aplicables, la forma de acceder a
las mismas y las finalidades del tratamiento que se pretende dar a los datos
personales.
c. Base de datos: conjunto organizado de datos personales que son objeto de
tratamiento.
d. Causahabiente: persona que ha sucedido a otra por causa del fallecimiento de
ésta (heredero).
e. Consultas: los titulares o sus causahabientes podrán consultar la información
personal del titular que repose en la base de datos. El responsable del
tratamiento deberá suministrar la información contenida en las bases de datos
que tenga en tratamiento.
f. Dato personal: cualquier información vinculada o que pueda asociarse a una o
varias personas naturales determinadas o determinables. Debe entonces
entenderse el “dato personal” como una información relacionada con una
persona natural.
g. Dato público: dato que no sea semiprivado, privado o sensible. Son
considerados datos públicos, entre otros, los datos relativos al estado civil de las
personas, a su profesión u oficio y a su calidad de comerciante o de servidor
público. Por su naturaleza, los datos públicos pueden estar contenidos, entre
otros, en registros públicos, documentos públicos, gacetas y boletines oficiales
y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a
reserva.
h. Datos sensibles: se entiende por datos sensibles aquellos que afectan la
intimidad del titular o cuyo uso indebido puede generar su discriminación, tales
como aquellos que revelen el origen racial o étnico, la orientación política, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones
sociales de derechos humanos o que promueva intereses de cualquier partido
político, así como los datos relativos a la salud, vida sexual y datos biométricos.
i. Encargado del tratamiento: persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, realice el tratamiento de datos personales
por cuenta del responsable del tratamiento. En los eventos en que el
responsable no ejerza como encargado de la base de datos, se identificará
expresamente quien será el encargado.
j. Habeas data: derecho de cualquier persona a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en el banco de datos y en
archivos de entidades públicas y privadas.
k. Reclamo: el titular o sus causahabientes que consideren que la información
contenida en una base de datos debe ser objeto de corrección, actualización o
supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los
deberes contenidos en esta ley, podrán presentar un reclamo ante el
responsable del tratamiento o el encargado del tratamiento.
l. Responsable del tratamiento: persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, decida sobre la base de datos y/o el
tratamiento de los datos personales.
m. Titular: persona natural cuyos datos personales sean objeto de tratamiento.
n. Tratamiento: cualquier operación o conjunto de operaciones sobre los datos
personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.
o. Transferencia: la transferencia de datos personales tiene lugar cuando el
responsable y/o encargado del tratamiento de datos personales, ubicado en
Colombia, envía la información o los datos personales a un receptor, que a su
vez es responsable del tratamiento y se encuentra dentro o fuera del país.
p. Transmisión: tratamiento de datos personales que implica la comunicación de
estos dentro o fuera del territorio de Colombia, cuando tenga por objeto la
realización de un tratamiento por el encargado por cuenta del responsable.
3. FINALIDADES DE LA RECOLECCIÓN DE DATOS PERSONALES Y
TRATAMIENTO DE ESTOS
Usted, como titular de datos personales, mediante autorización previa, expresa e
informada, acepta que sus datos se traten para: procesar, recolectar, almacenar,
usar, circular, consultar, suprimir, analizar, transmitir, transferir, verificar, confirmar,
validar o investigar con los datos que obtenga y de los que disponga legítimamente
con la finalidad de:
a. Generales:
• Informar cambios sobre la política de tratamiento de datos personales;
• Dar respuesta a las peticiones, consultas, quejas y reclamos que se realicen
a través de cualquiera de los canales dispuestos para hacer ejercicio del
derecho de habeas data;
• Confrontar la información personal entregada por el titular con bases de datos
públicas, en aras de realizar actividades de confirmación en centrales y
sistema de prevención de riesgo, éticas, referencias y contactos;
• Transferir o transmitir los datos personales a entidades y/o autoridades
judiciales y/o administrativas, cuando estos sean requeridos en relación con
su objeto y sea necesarios para el cumplimiento de sus funciones;
• Captar imágenes con fines de vigilancia para garantizar la seguridad de los
bienes y personas que se encuentran en cada una de las sedes de BANCA
MUTUAL;
• Ejecutar la relación contractual existente con sus clientes, proveedores y
trabajadores, incluida el pago de obligaciones contractuales;
• Enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes
de texto (SMS y/o MMS) o a través de cualquier otro medio análogo y/o digital
de comunicación creado o por crearse, información comercial, publicitaria o
promocional sobre los productos y/o servicios, eventos y/o promociones de
tipo comercial o, con el fin de impulsar, invitar, dirigir, ejecutar, informar y de
manera general, llevar a cabo campañas, promociones o concursos de
carácter comercial o publicitario, realizados por BANCA MUTUAL y/o por
terceras personas.
b. Trabajadores:
• Informar sobre los cambios en la política de tratamiento de datos personales;
• Realizar registro fotográfico y biométrico de la huella digital con el fin de
identificarlo y expedir carné de empleado para controlar los accesos a las
instalaciones;
• Enviar comunicaciones al interior de la empresa relacionadas o no con su
vinculación laboral;
• Prestar el servicio general de salud, sin limitarse a valorar las condiciones de
salud, realizar diagnósticos, inscribir y actualizar historia clínica, detección de
sustancias psicoactivas y otras actividades que adelante la empresa para su
bienestar;
• Promover la participación en programas desarrollados por la empresa que
tengan como finalidad el bienestar y buen clima laboral;
• Realizar trámites de afiliación a las entidades prestadoras de salud, cajas de
compensación familiar, administradoras de riesgo laboral y demás
necesarias para que la empresa cumpla con sus deberes como empleador;
• Monitorear y utilizar las imágenes del circuito de video vigilancia para
controlar, el desarrollo y rendimiento de las actividades laborales y por
seguridad en las áreas de trabajo;
• Realizar el correcto pago y generación de nómina electrónica, incluidos los
descuentos para pagos a terceros que el trabajador haya previamente
autorizado;
• Suministrarla a aliados estratégicos para beneficios directos al trabajador;
• Para que acceda, consulte, compare y analice la información almacenada en
bases de datos publica o privadas para realizar el proceso de conocimiento
de la contraparte en las listas LAFT;
• Recolección, almacenamiento y uso de sus correos electrónicos y números
de teléfono fijo y/o celular para realizar: a) envío de comunicaciones o avisos;
b) contacto para el cumplimiento de funciones laborales y; c) contactarlo en
cualquier momento y por el medio más expedito en caso de que ocurra una
emergencia;
• Recolectar, almacenar o utilizar fotografías, videos, huella dactilares o en
general los datos personales sensibles o biométricos, bien sea por motivos
de seguridad, individualización de las persona para el ingreso a las
instalaciones o con fines publicitarios, de comunicaciones o avisos internos
o externos. En cualquiera de los casos anteriores, como titular de sus datos
personales sensibles o biométricos se reservo la facultad de darlos o no.
c. Cliente:
• Registrarlo como cliente;
• Actualizar sus datos en los sistemas financieros;
• Efectuar el análisis de riesgos financieros;
• Realizar seguimiento de satisfacción de los productos adquiridos o servicios
prestados;
• Efectuar labores de facturación y gestionar el cobro de obligaciones
financieras;
• Enviar, por medio físico o electrónico, información de carácter comercial, de
mercadeo y promocional sobre productos o servicios de BANCA MUTUAL;
• Efectuar sorteos, rifas y espectáculos como parte de la fidelización con
BANCA MUTUAL;
• Procesos de gestión de tiquetes, hoteles, viajes u otros frente a sorteos
realizados por BANCA MUTUAL;
• Brindar asistencia y/o información sobre productos o servicios adquiridos en
cualquiera de las sedes de BANCA MUTUAL;
• Consultar, en cualquier tiempo, en centrales de riesgo la información
relevante para conocer su desempeño como deudor, así como su capacidad
para valorar el riesgo futuro de concederle un crédito;
• Confrontar la información personal entregada por el titular con bases de datos
públicas, en aras de realizar actividades de confirmación en centrales y
sistemas de prevención de riesgo LAFT, éticas, referencias y contactos;
• Venta de los productos o servicios que comercializa de BANCA MUTUAL;
• Informar sobre nuevos productos o servicios y/o sobre cambios en los
mismos;
• Realizar estudios internos sobre hábitos de consumo.
d. Proveedores:
Los datos de nuestro proveedores (personales naturales y representantes legales
de personas jurídicas), serán utilizados para poder gestionar de forma correcta la
relación contractual establecida con las siguientes finalidades:
• Establecer y gestionar el procesos de selección, evaluación de proveedores,
elaboración de solicitudes de cotización y propuestas, y/o adjudicación de
contratos de servicios;
• Aportar información a las autoridades competentes, cuando así lo requieran;
• Realizar análisis financiero, reputacional y de riesgo con entidades terceras
contratadas por BANCA MUTUAL;
• Desarrollar una correcta gestión de la relación contractual;
• Informar, comunicar, atender y acreditar las actividades en relación con su
condición de proveedor de BANCA MUTUAL;
• Efectuar los proceso de pagos de facturas y cuantas de cobro presentadas;
• Evaluar la calidad de los productos y servicios ofrecidos o prestado;
• Utilizar, en el evento que sea necesario, los datos personales del trabajador
del proveedor con el fin de establecer controles de acceso a las instalaciones
de BANCA MUTUAL, en cualquiera de sus sedes;
• Brindar asistencia y/o información de interés general y/o comercial y/o
financiera de servicios brindados por BANCA MUTUAL;
• Confrontar la información personal entregada por el titular con bases de datos
públicas, en aras de realizar actividades de confirmación centrales y sistemas
de prevención de riesgo LAFT, éticas, referencias y contactos.
• Cumplir con cualquier otra obligación legal que se encuentre a cargo de
BANCA MUTUAL;
e. Excepciones:
Si un dato personal es proporcionado, dicha información será utilizada solo para los
propósitos aquí señalados, y por lo tanto, BANCA MUTUAL no procederá a vender,
licenciar, transmitir, o divulgar la misma, salvo que:
• Exista autorización expresa para hacerlo;
• Sea necesario para permitir a los contratistas o agentes prestar los servicios
encomendados;
• Sea necesario con el fin de proveer nuestros servicios y/o productos;
• Sea necesario divulgarla a las entidades que prestan servicios de mercadeo
en nombre de BANCA MUTUAL o a otras entidades con las cuales se tengan
acuerdos de mercado conjunto;
• La información tenga relación con un proceso de restructuración de la
empresa como fusión, consolidación, adquisición, etc.;
• Que sea requerido o permitido por la ley.
BANCA MUTUAL podrá subcontratar a terceros para el procesamiento de
determinada información que involucre tratamiento de datos. Cuando esto se realice,
BANCA MUTUAL advierte a los terceros sobre la necesidad de proteger dicha
información personal con medidas de seguridad apropiadas. Ahora bien, se prohíbe
el uso de la información para fines propios y se solicita que no se divulgue la
información personal a otros.
4. PRINCIPIOS RECTORES APLICABLES AL TRATAMIENTO DE DATOS
Para efectos de garantizar la protección de datos personales, BANCA MUTUAL
aplicara de manera armónica e integral los siguientes principios rectores para el
tratamiento, transferencia y transmisión de datos personales:
a. Principio de legalidad: el uso, captura, recolección y tratamiento de datos
personales es una actividad regulada, la cual deberá estar sujeta a las
disposiciones legales vigentes y aplicables que rigen el tema y demás derechos
fundamentales conexos.
b. Principio de finalidad: el uso, captura, recolección y tratamiento de datos
personales que realice BANCA MUTUAL obedecerán a una finalidad legitima en
consonancia con la Constitución Política de Colombia, la cual deberá ser
informada al respectivo titular de los datos personales.
c. Principio de libertad: el uso, captura, recolección y tratamiento de los datos
personales solo puede realizarse con el consentimiento previo, expreso e
informado del titular. Los datos personales no podrán ser obtenidos o divulgados
sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial
que revele el consentimiento.
d. Principio de veracidad o calidad: la información sujeta a uso, captura,
recolección y tratamiento de datos personales debe ser veraz, completa, exacta,
actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos
parciales, incompletos, fraccionados o que induzcan a error.
e. Principio de transparencia: en el uso, captura, recolección y tratamiento de
bases de datos personales BANCA MUTUAL garantizará al titular su derecho de
obtener, en cualquier momento y sin restricción, información acerca de la
existencia de cualquier tipo de información o dato personal que sea de su interés
o titularidad.
f. Principio de acceso y circulación restringida: el uso, captura, recolección y
tratamiento de datos personales se sujeta a los límites que se derivan de la
naturaleza de estos, de las disposiciones legales y la Constitución. En
consecuencia, el tratamiento solo podrá hacerse por personas autorizadas por
el titular y/o las personas previstas en la ley.
Los datos personales, salvo la información pública, no podrán estar disponibles
en internet u otros medios de divulgación o comunicación masiva, salvo que el
acceso sea técnicamente controlable para brindar un conocimiento restringido
sólo a los titulares o terceros autorizados conforme a la ley.
g. Principio de seguridad: los datos personales e información sujeta a tratamiento,
será objeto de protección en la medida en que los recursos técnicos y estándares
mínimos así lo permitan, a través de la adopción de medidas tecnológicas de
protección, protocolos y todo tipo de medidas administrativas que sean
necesarias para otorga seguridad a los registros y bases de datos electrónicas,
evitando si adulteración, modificación, perdida, consulta y, en general, en contra
de cualquier uso o acceso no autorizado o fraudulento.
h. Principio de confidencialidad: todas las personas de BANCA MUTUAL que
administren, manejen, actualicen o tengan acceso a informaciones de cualquier
tipo que se encuentren en bases de datos, están obligadas a garantizar la
reserva de la información, por lo que se comprometen a conservar y mantener
de manera estrictamente confidencial y no revelar a terceros, toda la información
que llegaren a conocer en la ejecución y ejercicio de sus funciones; salvo cuando
se trate de actividades autorizadas expresamente por la ley de protección de
datos. Esta obligación persiste y se mantendrá inclusive después de finalizada
su relación con alguna de las labores que comprenden el tratamiento.
Los principios incluidos en este documentos son tomados de la normatividad vigente
en Colombia que regula la protección de datos personales.
5. TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES
BANCA MUTUAL podrá transferir y transmitir los datos personales a terceros con
quienes tenga relación operativa, que le provean de servicios necesarios para su
debida operación, o de conformidad con las funciones establecidas a su cargo en
las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las
personas que tengan acceso a sus datos personales cumplan con la presente
política y con los principios de protección de datos personales y obligaciones
establecidas en la Ley.
En todo caso, cuando BANCA MUTUAL transmita los datos, establecerá cláusulas
contractuales o celebrará un contrato de transmisión de datos personales en el que
indicará: alcances del tratamiento; las actividades que el encargado realizará por
cuenta del responsable para el tratamiento de los datos personales y; las
obligaciones del encargado para con el titular y el responsable.
Mediante dicho contrato el encargado se comprometerá a dar aplicación a las
obligaciones del responsable bajo la política de tratamiento de datos personales
fijada por este y a realizar el tratamiento de datos de acuerdo con la finalidad que
los titulares hayan autorizado y con las leyes aplicables vigentes.
Además de las obligaciones que impongan las normas aplicables dentro del citado
contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo
encargado:
a. Dar tratamiento, a nombre del responsable, a los datos personales conforme
a los principios que los tutelan.
b. Salvaguardar la seguridad de las bases de datos en los que se contengan
datos personales.
c. Guardar confidencialidad respecto del tratamiento de los datos personales.
Transferencia a terceros países
Estará prohibida la transferencia de datos personales de cualquier tipo, incluyendo
aquellos contemplados en la Ley 1266 de 2008, a países que no proporcionen
niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel
adecuado de protección de datos cuando cumpla con los estándares fijados por la
Superintendencia de Industria y Comercio sobre la materia, los cuales, en ningún
caso, podrán ser inferiores a los que la ley exige a sus destinatarios.
La prohibición no será aplicable cuando los datos que se traten sean de:
a. Información respecto de la cual el titular haya otorgado su autorización
expresa e inequívoca para la transferencia;
b. Intercambio de datos de carácter médico, cuando así lo exija el tratamiento
del titular por razones de salud o higiene pública;
c. Transferencias bancarias o bursátiles, conforme a la legislación que les
resulte aplicable;
d. Transferencias acordadas en el marco de tratados internacionales en los
cuales Colombia sea parte, con fundamento en el principio de reciprocidad;
e. Transferencias necesarias para la ejecución de un contrato entre el titular y el
responsable del tratamiento, o para la ejecución de medidas precontractuales,
siempre y cuando se cuente con la autorización del titular; y
f. Transferencias legalmente exigidas para la salvaguardia del interés público o
para el reconocimiento, ejercicio o defensa de un derecho en un proceso
judicial.
La Superintendencia de Industria y Comercio será la competente para pronunciarse
en los casos no contemplados como excepción a la transferencia internacional de
datos, esto a través de la declaración de conformidad.
6. DERECHOS DE LOS TITULARES DE PERSONALES
Los titulares de datos personales por sí mismos o por intermedio de su
representante y/o apoderado o sus causahabientes podrán ejercer los siguientes
derechos, respecto de los datos personales que sean objeto de tratamiento por
parte de BANCA MUTUAL:
a. Derecho de acceso: acceder de forma gratuita a los datos personales que estén
bajo el control de BANCA MUTUAL.
b. Derecho de actualización, rectificación y supresión: solicitar la actualización
rectificación y/o supresión de los datos personales objeto de tratamiento, de tal
manera que se satisfagan los propósitos del tratamiento. El titular tiene derecho
a solicitar, en todo momento, a BANCA MUTUAL, la supresión de sus datos
personales cuando: considere que los mismos no están siendo tratados
conforme a los principios, deberes y obligaciones previstas en la normatividad
vigente; hayan dejado de ser necesarios o pertinentes para la finalidad para la
cual fueron recabados; se haya superado el periodo necesario para el
cumplimiento de los fines para los que fueron recabados.
c. Derecho a solicitar prueba de la autorización: solicitar prueba de la
autorización otorgada a BANCA MUTUAL para el tratamiento de los datos
personales, salvo en eventos en los cuales, según las normas legales vigente,
no se requiera de la autorización para realizar el tratamiento.
d. Derecho a ser informado respecto del uso del dato personal: ser informado
por BANCA MUTUAL, previa solicitud, respecto del uso que la asociación mutual
le esté dando a sus datos personales.
e. Derecho a presentar quejas ante la Superintendencia de Industria y
Comercio: por infracciones a los dispuesto en la normatividad vigente sobre
tratamiento de datos personales.
f. Derecho a requerir el cumplimiento de las ordenes emitidas por la
Superintendencia de Industria y Comercio.
g. Abstenerse de responder a las preguntas sobre datos sensibles: tendrá
carácter facultativo las respuestas que versen sobre datos sensibles o sobre
datos de los niños, niñas y adolescentes.
Para efectos del ejercicio de los derechos aquí descritos, tanto el titular como la
persona que lo represente deberá demostrar su identidad y, de ser el caso, la calidad
en virtud de la cual representa al titular. Los derechos de los menores de edad serán
ejercidos por medio de las personas que estén facultadas para representarlos.
7. DEBERES DEL RESPONSABLE
BANCA MUTUAL, como encargado y responsable del tratamientos de datos
personales está obligada a cumplir los deberes que al respecto le imponga la ley.
En consecuencia, debe cumplir con las siguientes obligaciones:
a. Deberes cuando se actúa como responsable del tratamiento de datos
personales:
• Solicitar y conservar, en las condiciones previstas en esta política, copia de
la respectiva autorización otorgada por el titular;
• Informar de manera clara y suficiente, al titular, sobre la finalidad de la
recolección y los derechos que le asisten por virtud de la autorización
otorgada;
• Informar, a solicitud del titular, sobre el uso de sus datos personales;
• Tramitar las consultas y reclamos formulados en los términos señalados en
la Ley y en la presente política de tratamiento de datos personales;
• Procurar por el cumplimiento de los principios de veracidad, calidad,
seguridad y confidencialidad en los términos establecidos en la presente
política de tratamiento de datos personales;
• Conservar la información, bajo las condiciones de seguridad necesarias,
para impedir su adulteración, perdida, consulta, uso o acceso no autorizado
o fraudulento;
• Actualizar oportunamente la información, atendiendo de esta forma a todas
las novedades respecto de los datos del titular. Adicionalmente,
implementará medidas para que la información se actualice;
• Rectificar los datos personales cuando ello sea prudente;
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho
de hábeas data;
• Rectificar la información cuando sea incorrecta y comunicar lo pertinente;
• Respetar las condiciones de seguridad y privacidad de la información del
titular;
• Informar a la autoridad de protección de datos cuando se presenten
violaciones a los códigos de seguridad y existan riesgo en la administración
de la información de los titulares;
• Usar únicamente datos cuyo tratamiento este previamente autorizado de
conformidad con lo previsto en la ley 1581 de 2012;
• Velar por el uso adecuado de los datos personales de los niños, niñas y
adolescentes, en aquellos casos en que está autorizado el tratamiento de
sus datos;
• Abstenerse de circular información que este siendo controvertida por el
titular y cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio;
• Permitir el acceso a la información únicamente a la personas que puedan
tener acceso a ella;
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho
de hábeas data;
• Garantizar que la información que se suministre al encargado del
tratamiento sea veraz, completa, exacta, actualizada, comprobable y
comprehensible;
• Suministrar al encargado del tratamiento, según el caso, únicamente datos
cuyo tratamiento esté previamente autorizado de conformidad con lo
previsto en la ley y las presentes políticas de tratamiento;
• Exigir al encargado del tratamiento, en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del titular;
• Tramitar las consultas y reclamos formulados en los términos señalados en
la ley;
• Informar al encargado del tratamiento cuando determinada información se
encuentra en discusión por parte del titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo; e
• Informar a solicitud del titular sobre el uso dado a sus datos;
b. Deberes cuando se obra como encargado del tratamiento de datos
personales: si realiza el tratamiento de datos en nombre de otra entidad u
organización (responsable del tratamiento de datos personales) deberá cumplir
con los siguientes deberes:
• Establecer que el responsable del tratamiento esté autorizado para
suministrar los datos personales que tratará como encargado;
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de hábeas data;
• Conservar la información, bajo las condiciones de seguridad necesarias,
para impedir su adulteración, perdida, consulta, uso o acceso no
autorizado o fraudulento;
• Realizar oportunamente la actualización, rectificación o supresión de los
datos;
• Actualizar la información reportada por los responsables del tratamiento
dentro de los cinco (05) días hábiles siguiente, contados a partir de su
recibo;
• Tramitar las consultas y los reclamos formulados por los titulares, en los
términos señalados en la presente política de tratamiento de datos
personales;
• Abstenerse de circular información que este siendo controvertida por el
titular o cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio;
• Permitir el acceso a la información únicamente a la persona autorizada
por el titular o facultadas por la ley para dicho efecto;
• Informar a la Superintendencia de Industria y Comercio cuando se
presenten violaciones a los códigos de seguridad y existan riesgos en la
administración de la información de los titulares;
• Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio;
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de hábeas data;
• Registrar en la base de datos las leyenda “reclamo en trámite” en la forma
en que se regula en la presente ley; y
• Insertar en la base de datos la leyenda “información en discusión judicial”
una vez notificado por parte de la autoridad competente sobre procesos
judiciales relacionados con la calidad del dato personal.
En el evento en que concurran las calidades de responsable del tratamiento y
encargado del tratamiento en la misma persona, le será exigible el cumplimiento
de los deberes previstos para cada uno.
c. Deberes cuando se realiza el tratamiento a través de un encargado:
• Suministrar al encargado del tratamiento de los datos personales
únicamente los datos personales cuyo tramite este previamente
autorizado. Para efectos de la transmisión nacional o internacional de los
datos se deberá suscribir un contrato de transmisión de datos personales
o pactar cláusulas contractuales según lo establecido en el artículo 25 del
decreto 1377 de 2013;
• Garantizar que la información que se suministra al encargado del
tratamiento de datos personales sea veraz, completa, exacta, actualizada,
comprobable y comprensible;
• Comunicar, de forma oportuna, al encargado del tratamiento de datos
personales todas las novedades respecto de los datos que previamente
le haya suministrado y adoptar las medidas necesarias para que la
información suministrada a este se mantenga actualizada;
• Informar de manera oportuna al encargado del tratamiento de datos
personales las rectificaciones realizadas sobre los datos personales para
que este proceda a realizar los ajustes pertinentes;
• Exigir al encargado del tratamiento de datos personales, en todo
momento, el respeto a las condiciones de seguridad y privacidad de la
información del titular; e
• Informar al encargado del tratamiento de datos personales cuando
determinada información se encuentre en discusión por parte del titular,
una vez se haya presentado la reclamación y no haya finalizado el trámite
respectivo.
d. Deberes respecto de la Superintendencia de Industria y Comercio:
• Cumplir los requerimientos e instrucciones que imparta la Superintendencia
de Industria y Comercio sobre el tema en particular; e
• Informarle las eventuales violación a los código de seguridad y la existencia
de riesgos en la administración de la información de los titulares.
BANCA MUTUAL procederá, de acuerdo con la normatividad vigente y la
reglamentación que para tal fin expida el Gobierno Nacional, a realizar el registro de
sus bases de datos, ante el Registro Nacional de Bases de Datos (“RNBD”) que
será administrado por la Superintendencia de Industria y Comercio.
El RNBD, es el directorio público de las bases de datos sujetas a tratamiento que
operan en el país; y que será de libre consulta para los ciudadanos, de acuerdo con
la normatividad que para tal efecto expida el Gobierno Nacional.
8. AUTORIZACIÓN
Con antelación y/o al momento de efectuar la recolección de los datos personales,
BANCA MUTUAL solicitará al titular de los datos personales su autorización, libre,
expresa e informada, para que sus datos personales sean almacenados,
transmitidos, usados, actualizados, circulados y en general tratados, indicando la
finalidad para la cual se solicita el dato personal, utilizando para esos efectos medios
técnicos automatizados, escritos u orales, que permitan conservar prueba de la
autorización y/o la conducta inequívoca descrita en el artículo 7 del decreto 1377 de
2013. Dicha autorización se solicitará por el tiempo que sea razonable y necesario
para satisfacer las necesidades que dieron origen a la solicitud de los datos
personales y, en todo caso, con observancia de las disposiciones legales que rigen
sobre la materia.
De la misma forma, el titular de los datos personales podrá, en cualquier momento,
revocar su consentimiento para el tratamiento de los mismos, siempre que sea legal
y contractualmente permitido, mediante envío de una comunicación o solicitud a
través de los canales dispuestos para la atención de los mismos, aportando copia
de su documento de identidad, con el fin de acreditar su identidad.
En el caso de que un tercero sea quien ejerza estos derechos, deberá: a) Si es
causahabiente del titular, acreditar tal calidad acorde a los medios probatorios
vigentes para legitimar la causa; y b) Acreditar que es el representante legal y/o
apoderado del titular.
9. AVISO DE PRIVACIDAD
El aviso de privacidad es el documento físico, electrónico o en cualquier formato,
puesto a disposición del titular para informarle acerca del tratamiento de sus datos
personales. A través de estos documentos se comunica al titular la información
relacionada con la existencia de las políticas de tratamientos de información de
BANCA MUTUAL que le serán aplicables, la forma de acceder a las mismas y las
características del tratamiento que se pretende dar a los datos personales.
El aviso de privacidad deberá contener, como mínimo, la siguiente información:
a. La identidad, domicilio y datos de contacto del responsable del tratamiento.
b. El tipo de tratamiento al cual serán sometidos los datos y la finalidad del
mismo.
c. Los mecanismos generales dispuestos por el responsable para que el titular
conozca la política del tratamiento de la información. De igual forma, en todos
los casos de sebe de informar al titular como acceder o consultar la política
de tratamiento de información.
10.CANALES DE ATENCIÓN
La oficina de bases de datos personales de BANCA MUTUAL será la responsable
de atender las peticiones, quejas, consultas y reclamos que llegaren a formular los
titulares de datos personales en ejercicio de los derechos contemplados en el
acápite de derechos de la presente política de tratamiento de datos, a excepción del
descrito en su literal E.
Para tales efectos, el titular de los datos personales, o quien ejerza su
representación, podrá enviar su petición, queja, consulta o reclamo al correo
electrónico datospersonales@bancamutual.com
11.MEDIDAS DE SEGURIDAD
En desarrollo del principio de seguridad establecido en la ley 1581 de 2012, BANCA
MUTUAL adoptará las medidas técnicas, humanas y administrativas que sea
necesarias para otorga seguridad a los registros, evitando su adulteración, perdida,
consulta, uso o acceso no autorizado o fraudulento.
El personal que realice el tratamiento de los datos personales ejecutará los
protocolos establecidos con el fin de garantizar la seguridad de la información.
12.DISPOSICIONES ESPECIALES PARA DATOS SENSIBLES
Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo
uso indebido puede genera su discriminación, tales como aquellos que revelen el
origen racial o ético; la orientación política; las convicciones religiosas o filosóficas;
la pertenencia a sindicatos; organizaciones sociales de derechos humanos o que
promuevan interese de cualquier partido político; los datos relativos a la salud; a la
vida sexual; los datos biométricos; la captura de imagen fija o en movimiento; huella
dactilares; fotografías; iris; reconocimiento de voz, fácil o de palma de mano; entre
otros.
Se podrá hacer uso y tratamiento de los datos catalogados como sensibles cuando:
a. El titular haya dado su autorización explicita a dicho tratamiento, salvo en los
casos que por ley no sea requerido el otorgamiento de dicha autorización.
b. El tratamiento de los mismos sea necesario para salvaguardar el interés vital
del titular y este se encuentre, física o jurídicamente, incapacitado. En estos
casos, el representante legal deberá otorga su autorización.
c. El tratamiento se refiera a datos que sean necesarios para el reconocimiento,
ejercicio o defensa de un derecho en un proceso judicial.
d. El tratamiento tenga una finalidad histórica, estadística o científica. En estos
casos deberán adoptarse las medidas conducentes a la supresión de
identidad de los titulares.
13.DISPOSICIONES PARA DATOS DE MENORES DE EDAD
Según los dispuesto en el artículo 7 de la ley 1581 de 2012 y el artículo 12 del
decreto 1377 de 2013, BANCA MUTUAL solo realizará el tratamiento (recolección,
almacenamiento, uso, circulación y/o supresión) de datos personales de niños,
niñas y adolescentes, cuando este tratamiento responda y respete el interés
superior de los niños, niñas y adolescentes y asegure el respeto de sus derechos
fundamentales, para aquellos eventos en que se promueve espacios de
participación de los menores, ya sea por la relación del responsable del menor con
BANCA MUTUAL o por eventos que beneficien a la comunidad en la que los
menores puedan participar.
Una vez se cumplan estos requisitos, BANCA MUTUAL deberá obtener la
autorización del representante legal del niño, niña o adolescente, previo ejercicio
del derecho a ser escuchado del menor, opinión que será valorada teniendo en
cuenta la madurez, autonomía y capacidad de entender el asunto.
14.MEDIOS DE RECOLECCIÓN
BANCA MUTUAL anuncia al público en general que podrá obtener la autorización
mediante diferentes medios, entre ellos el documento físico, electrónico, mensaje
de datos, internet, página web, conductas inequívocas, o cualquier otro formato que,
en todo caso, permita la obtención del consentimiento de los titulares.
La recolección se hará de forma personal cuando el titular de los datos personales
acuda a alguna de las oficinas ubicadas en el territorio nacional. Se hará de forma
directa cuando el titular de datos personales autoriza utilizar sus datos mediante los
formatos físicos y/o electrónicos, por vía telefónica o cualquier medio, conocido o
por conocerse, que BANCA MUTUAL disponga para tal fin. Por último, se hará de
forma indirecta por cualquier otra fuente publica de información que se permita por
la ley y aquellos obtenidos por sus sistemas de seguridad.
Los datos personales captados o que captará BANCA MUTUAL pueden incluir, sin
limitarse a, lo siguiente: datos de identificación y contacto; datos patrimoniales;
datos financieros; datos académicos; datos laborales; datos socioeconómicos;
datos de ubicación; datos sensible como: huellas dactilares, fotos, videos,
grabaciones de voz, firmas, etc.; datos relativos a la salud; entre otros.
Ahora bien, BANCA MUTUAL podrá establecer el almacenamiento en archivos
físicos y electrónicos, para la conservación de la prueba de la autorización otorgada
por los titulares de los datos personales para su tratamiento, para lo cual utilizará
los mecanismos disponibles a su alcance.
Así mismo, BANCA MUTUAL cumplirá, en todo momento, con los controles técnicos,
legales, procedimentales y organizacionales tendientes a establecer condiciones de
seguridad, con el fin de evitar el acceso, perdida, adulteración y/o uso fraudulento
de los datos, respetando las libertades y los derechos que tienen las personas frente
al tratamiento de sus datos personales.
15.ALCANCE DE LA INFORMACIÓN
BANCA MUTUAL garantizará al titular el derecho de acceso a sus datos personales,
previa acreditación de su identidad o la de su representante, poniendo a disposición
de este, de manera gratuita, de tal forma que el titular pueda hacer efectivo su
derecho de rectificar, corregir, actualizar o solicitar la supresión de todos sus datos
personales o parte de estos.
Atendiendo al principio de legitimación en la causa, este derecho podrá ser ejercido
por los siguientes:
a. Quien demuestre vinculo de consanguinidad o sus causahabientes.
b. Quien demuestre ser cónyuge supérstite.
c. Quien demuestre ser el apoderado general o con autorización expresa de
ejercer el derecho de habeas datas.
d. Por requerimiento legal.
16.LIMITACIONES TEMPORALES
BANCA MUTUAL solo podrá recolectar, almacenar, usar o circular los datos
personales durante el tiempo que sea razonable y necesario, de acuerdo con las
finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicable
a la materia de que se trate y a los aspectos administrativos, contables, fiscales,
jurídicos e históricos de la información.
Una vez cumplida la finalidad del tratamiento y sin perjuicio de normas legales que
dispongan lo contrario, procederá a la supresión de los datos personales en su
posesión. No obstante lo anterior, los datos personales deberán ser conservados
cuando así se requiera para el cumplimiento de la obligación legal o contractual.
17.PROCEDIMIENTOS SOBRE LOS DATOS PERSONALES:
a. Consultas:
Consisten en la facultad de conocer la información que reposa en las bases de datos.
Estas deben de ser atendidas en un término máximo de diez (10) días hábiles
contados desde la fecha de recibo de esta. En caso de no ser posible atender la
consulta en el plazo estipulado, se informará al interesado los motivos de la demora,
señalando una nueva fecha en la cual se atenderá la consulta, la cual no puede ser
superior a cinco (05) días hábiles siguientes al vencimiento del primer término.
b. Reclamos:
Se presentarán cuando los titulares o causahabientes consideran que la información
contenida en la base de datos debe ser objeto de actualización, corrección,
supresión o cuando adviertan el presunto incumplimiento de cualquiera de los
deberes a cargo del responsable o encargado.
El reclamo se formulará mediante la identificación del titular, la descripción de los
hechos y la dirección de notificación del titular. Así mismo debe de estar
acompañado de los documentos que pretenda hacer valer como pruebas.
En el caso de que el reclamo se encuentre incompleto, se le hará saber al titular
para que, en un término de cinco (05) días hábiles siguientes a la recepción de la
devolución, subsane los errores. Si transcurridos dos (02) meses desde la fecha de
requerimiento, el solicitante no ha presentado la información requerida, se
entenderá desistido el reclamo.
En caso de que, quien reciba el reclamo, no sea competente para resolverlo, dará
traslado a quien corresponda en un término máximo de dos (02) días hábiles, e
informara de la situación al interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda
que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos
(2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea
decidido.
El reclamo, siempre y cuando cumpla con todos los requisitos, se atenderá dentro
de los quince (15) días hábiles siguientes a la fecha de su recepción. De no ser
posible dar respuestas en dicho término, se informará al interesado los motivos de
la demora y la fecha en que será atendido el reclamo. Sin embargo, en ningún caso
este podrá superar los ocho (08) días hábiles siguientes la vencimiento del primer
término.
Estas consultas o reclamos pueden darse con el objetivo de revocar (suprimir) o
rectificar los datos almacenados por BANCA MUTUAL en su base de datos.
18.REVOCATORIA O SUPRESIÓN:
Los titulares de los datos personales pueden, en cualquier momento, revocar la
autorización otorgada a BANCA MUTUAL para el tratamiento de sus datos
personales o solicitar la supresión de estos, siempre y cuando no lo impida una
disposición legal o contractual. BANCA MUTUAL tendrá establecidos mecanismos
sencillos y gratuitos por medio de los cuales el titular podrá revocar su autorización
o solicitar la supresión de sus datos personales de la base de datos de la asociación,
al menos por el mismo medio por el cual lo otorgó.
Para lo anterior debe tenerse en cuenta que la revocatoria del consentimiento puede
expresarse, por una parte, de manera total en relación con las finalidades
autorizadas, y por lo tanto BANCA MUTUAL deberá cesar cualquier actividad de
tratamiento de datos; y por otra parte, de manera parcial en relación con ciertos
tipos de tratamiento, caso en el cual solo cesarán las actividades de tratamientos
sobre estas finalidades específicas.
En el caso de revocación parcial, BANCA MUTUAL podrá continuar tratando los
datos personales para aquellos fines sobre los cuales el titular no hubiera revocado
su consentimiento.
Es importante tener en cuenta que este derecho no es absoluto y el responsable
puede negar el ejercicio de este cuando:
a. El titular tenga un deber legal o contractual de permanecer en la base de
datos;
b. La eliminación de datos obstaculice actuaciones judiciales o administrativas
vinculadas a obligaciones fiscales, la investigación y persecución de delitos
o la actualización de sanciones administrativas y;
c. Los datos sean necesarios para proteger los intereses jurídicamente
tutelados del titular; para realizar una acción en función del interés público, o
para cumplir con una obligación legalmente adquirida por el titular.
19.RECTIFICAR Y ACTUALIZACIÓN:
BANCA MUTUAL tiene la obligación de rectificar y actualizar, a solicitud del titular,
la información de este que resulte ser incompleta o inexacta, de conformidad con el
procedimiento señalado.
Al respecto se tendrá en cuenta lo siguiente:
a. En las solicitudes de rectificación y actualización de datos personales, el
titular debe indicar las correcciones a realizar, y aportar la documentación
que avale su petición; y
b. BANCA MUTUAL establecerá formularios, sistemas y otros métodos
simplificados que pondrá a disposición de los interesados por medio de
correo electrónico o por escrito.
20.CAMBIOS
En el evento de introducir cambios en la presente política de tratamiento de datos
personales, estos se publicarán en la siguiente dirección electrónica
https://bancamutual.com sitio donde siempre se podrá encontrar la versión más
actualizada de nuestras políticas de tratamientos de datos personales, lo anterior
con el fin de mantener a todos los titulares de datos personales informados y
actualizados sobre las condiciones de uso de sus datos.
Si usted, como titular de datos personales no se encuentra de acuerdo con los
cambios que se realicen en la política de tratamiento de datos personales, le
solicitamos ejercer su derecho de habeas data en los canales establecidos en la
presente política de tratamiento de datos personales.
21.VIGENCIA
La presente política de tratamiento de datos personales de BANCA MUTUAL fue
creada en agosto de dos mil veintitrés (2023) y rige a partir del primero (01) de
septiembre del dos mil veintitrés (2023).
REPRESENTANTE LEGAL.
Wilmer Chaves.