Política de Tratamiento de Datos Usuarios

1.   Identificación del Responsable

BANTOKENS es operada por MUNDO DIGITAL INTERNATIONAL S.A.S. (en adelante, el “RESPONSABLE”), sociedad constituida conforme a las leyes de la República de Colombia, identificada con NIT 902005393 y con domicilio principal en Cali, Colombia.

Para efectos de la presente Política, el RESPONSABLE actúa como RESPONSABLE del Tratamiento respecto de los datos personales recolectados de los USUARIOS en el marco del registro, acceso y uso de la PLATAFORMA y de las actividades asociadas a la canalización de Órdenes de Dispersión.

2.   Objeto

La presente Política de Tratamiento de Datos Personales tiene por objeto establecer las reglas, criterios y lineamientos que aplica BANTOKENS para garantizar el tratamiento adecuado, seguro y conforme a la ley de los Datos Personales de sus USUARIOS, recolectados a través de sus canales digitales y demás medios habilitados, en el marco del acceso, registro y uso de la PLATAFORMA y, en particular, para la habilitación y operación del servicio de canalización de ÓRDENES DE DISPERSIÓN.

3.   Alcance

Esta Política aplica a todo tratamiento de Datos Personales realizado por Bantokens en calidad de RESPONSABLE del Tratamiento, respecto de los Datos Personales de los USUARIOS que sean recolectados, almacenados, usados, circulados, transmitidos, actualizados o suprimidos, por cualquier medio, con ocasión de:

  • El registro del USUARIO, la creación y la administración de su cuenta en la PLATAFORMA;
  • Los procesos de validación y verificación de información y documentación;
  • La emisión, confirmación, trazabilidad y gestión operativa asociada a Órdenes de Dispersión;
  • La atención de solicitudes, peticiones, quejas y reclamos, y demás interacciones relacionadas con el servicio.

Asimismo, esta Política es de obligatorio conocimiento y cumplimiento para los trabajadores, contratistas y terceros que actúen por cuenta de Bantokens o que traten Datos Personales como ENCARGADOS del Tratamiento, incluyendo aliados tecnológicos y operativos que intervengan en el flujo de canalización, quienes deberán observar las obligaciones de confidencialidad, seguridad y tratamiento que correspondan.

4.   Definiciones

Para efectos de la presente Política, los términos que se indican a continuación tendrán el significado que aquí se les asigna. Cuando un término no esté definido en esta sección, se interpretará conforme a la normativa aplicable en materia de protección de datos personales.

  1. AUTORIZACIÓN: Consentimiento previo, expreso e informado del TITULAR para llevar a cabo el TRATAMIENTO de sus DATOS PERSONALES.
  2. AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el RESPONSABLE dirigida al TITULAR para informarle la existencia de la presente Política, la forma de acceder a ella y las finalidades del TRATAMIENTO, entre otros aspectos mínimos exigidos por la ley.
  3. BASE DE DATOS: Conjunto organizado de DATOS PERSONALES que sea objeto de TRATAMIENTO por parte del RESPONSABLE.
  4. CONSULTA: Solicitud del TITULAR para conocer la información personal que repose en una BASE DE DATOS del RESPONSABLE.
  5. DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
  6. DATO PERSONAL SENSIBLE: DATO PERSONAL que afecta la intimidad del TITULAR o cuyo uso indebido puede generar discriminación (por ejemplo, datos biométricos). Su TRATAMIENTO está sujeto a requisitos reforzados.
  7. ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica que realice el TRATAMIENTO de DATOS PERSONALES por cuenta del RESPONSABLE, incluyendo proveedores tecnológicos, aliados operativos y contratistas, cuando aplique.
  8. RECLAMO: Solicitud del TITULAR para corregir, actualizar, suprimir datos o revocar la AUTORIZACIÓN, o para presentar inconformidades relacionadas con el TRATAMIENTO.
  9. RESPONSABLE DEL TRATAMIENTO (RESPONSABLE): MUNDO DIGITAL INTERNATIONAL S.A.S., quien decide sobre la BASE DE DATOS y/o el TRATAMIENTO de los DATOS PERSONALES en los términos de esta Política.
  10. TITULAR: Persona natural a quien corresponden los DATOS PERSONALES que son objeto de TRATAMIENTO. Para esta Política, el TITULAR incluye, entre otros, al USUARIO y, cuando aplique, a los representantes, contactos y USUARIOS AUTORIZADOS asociados a una CUENTA.
  11. TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre DATOS PERSONALES, tales como recolección, almacenamiento, uso, circulación, transmisión, transferencia, actualización o supresión.
  12. TRANSMISIÓN: TRATAMIENTO de DATOS PERSONALES que implica su comunicación a un ENCARGADO del TRATAMIENTO dentro o fuera del país, para que este los trate por cuenta del RESPONSABLE.
  13. TRANSFERENCIA: Envío de DATOS PERSONALES a un tercero (otro responsable), dentro o fuera del país, que decide sobre el TRATAMIENTO de los datos.
  14. USUARIO: Persona natural o jurídica que accede a la PLATAFORMA y utiliza sus funcionalidades. Cuando el USUARIO sea persona jurídica, se entiende que el TRATAMIENTO puede incluir los datos de sus representantes, contactos y USUARIOS AUTORIZADOS, en la medida necesaria para la prestación del servicio.
  15. PLATAFORMA: Entorno tecnológico Bantokens (sitio web, portal, interfaz o sistema) a través del cual el USUARIO se registra, administra su CUENTA y utiliza funcionalidades asociadas a la canalización y trazabilidad de ÓRDENES DE DISPERSIÓN.
  16. CUENTA: Perfil habilitado dentro de la PLATAFORMA, asociado a credenciales de acceso, desde el cual el USUARIO y/o sus USUARIOS AUTORIZADOS pueden administrar información y operar funcionalidades habilitadas.
  17. USUARIO AUTORIZADO: Persona natural habilitada por el USUARIO para operar la CUENTA, bajo su responsabilidad, conforme al flujo operativo vigente.
  18. ORDEN DE DISPERSIÓN: Instrucción emitida por el USUARIO a través de la PLATAFORMA para solicitar el trámite de dispersión hacia uno o varios BENEFICIARIOS, cuya gestión puede implicar TRATAMIENTO de DATOS PERSONALES (por ejemplo, datos de identificación y bancarios del TITULAR y/o BENEFICIARIOS, cuando aplique).
  19. BENEFICIARIO: Persona natural o jurídica a favor de la cual se solicita una dispersión. Cuando el BENEFICIARIO sea persona natural, podrá tener la calidad de TITULAR respecto de sus DATOS PERSONALES.

5.   Tratamiento de Datos

5.1. Alcance del TRATAMIENTO

El RESPONSABLE realizará el TRATAMIENTO de los DATOS PERSONALES de los TITULARES que se recolecten o reciban con ocasión de: (i) el registro del USUARIO y creación de la CUENTA; (ii) la validación y verificación de información y documentación; (iii) la emisión, confirmación, trazabilidad y gestión operativa asociada a ÓRDENES DE DISPERSIÓN; y (iv) la atención de solicitudes, PQR y requerimientos de autoridades competentes, todo conforme a las finalidades previstas en esta Política y a la normativa aplicable.

5.2. Tipos de DATOS PERSONALES tratados

Para la prestación del servicio de canalización, el RESPONSABLE podrá tratar, según corresponda y de acuerdo con el flujo operativo, las siguientes categorías de datos:

  • Datos de identificación y contacto: nombres, apellidos, tipo y número de documento, correo electrónico, número telefónico, dirección, país/ciudad, y demás datos requeridos para registro y comunicación.
  • Datos de representación y rol (USUARIO persona jurídica): nombre, documento y datos de contacto de representantes, contactos, administradores y USUARIOS AUTORIZADOS.
  • Datos de verificación y soporte: documentos de identidad, RUT y/o soportes tributarios cuando aplique, certificaciones bancarias, y demás documentos que el RESPONSABLE requiera para habilitación, validación y cumplimiento.
  • Datos operativos y transaccionales: identificadores de ÓRDENES DE DISPERSIÓN, fecha/hora, montos, estados, trazabilidad y demás metadatos necesarios para el registro y seguimiento de órdenes.
  • Datos de seguridad y uso de la PLATAFORMA: credenciales (en formato protegido), registros de acceso, eventos de seguridad, y trazas técnicas necesarias para prevenir fraude, gestionar incidentes y asegurar la integridad del servicio.

El RESPONSABLE no solicitará DATOS PERSONALES SENSIBLES como requisito general para el uso de la PLATAFORMA. En caso de que excepcionalmente se requiera alguno (por ejemplo, datos biométricos para autenticación), se informará al TITULAR y se recabará la AUTORIZACIÓN reforzada correspondiente, cuando aplique.

5.3. Fuentes de recolección

Los DATOS PERSONALES podrán ser recolectados directamente del TITULAR a través de: (i) el FORMULARIO DE REGISTRO; (ii) formularios o módulos de cargue de información y documentación dentro de la PLATAFORMA; (iii) comunicaciones por canales de atención; y (iv) fuentes legítimas autorizadas por el TITULAR o permitidas por la ley para fines de verificación, seguridad o cumplimiento.

5.4. TRANSMISIÓN a ENCARGADOS y comunicación a terceros

Para cumplir con las finalidades del servicio y garantizar su operación, el RESPONSABLE podrá TRANSMITIR datos personales a ENCARGADOS DEL TRATAMIENTO (por ejemplo, proveedores tecnológicos, servicios de hosting, herramientas de verificación y ALIADOS EJECUTORES), estrictamente en la medida necesaria para: (i) habilitar y operar la PLATAFORMA; (ii) realizar validaciones; (iii) canalizar y dar trazabilidad a ÓRDENES DE DISPERSIÓN; y (iv) atender requerimientos legales y de cumplimiento.

Cualquier TRANSFERENCIA a terceros RESPONSABLES solo se realizará cuando exista base legal o AUTORIZACIÓN aplicable, o cuando sea exigida por autoridad competente, conforme a la normativa vigente.

 

 

 

5.5. Seguridad y confidencialidad

El RESPONSABLE adoptará medidas técnicas, humanas y administrativas razonables para proteger los DATOS PERSONALES contra acceso no autorizado, pérdida, alteración, uso o divulgación indebida, de acuerdo con la naturaleza del servicio y los riesgos asociados. Así mismo, exigirá a sus ENCARGADOS obligaciones de confidencialidad y seguridad equivalentes.

6.   Finalidades

El RESPONSABLE realizará el TRATAMIENTO de los DATOS PERSONALES de los TITULARES únicamente para finalidades legítimas, necesarias y coherentes con la operación de la PLATAFORMA y el servicio de CANALIZACIÓN de ÓRDENES DE DISPERSIÓN. En particular, los DATOS PERSONALES podrán ser tratados para:

  • Registro y administración de CUENTA: crear, activar, autenticar y administrar la CUENTA del USUARIO, incluyendo la gestión de credenciales, perfiles, roles y permisos, y la administración de USUARIOS AUTORIZADOS cuando aplique.
  • Verificación de identidad y habilitación operativa: validar la identidad del TITULAR y/o del USUARIO, verificar información suministrada y soportes documentales (por ejemplo, documentos de identificación, RUT, certificaciones bancarias u otros), y mantener la habilitación operativa conforme al flujo operativo vigente.
  • Canalización y trazabilidad de ÓRDENES DE DISPERSIÓN: recibir, registrar, procesar, cursar y dar trazabilidad a ÓRDENES DE DISPERSIÓN, incluyendo la gestión de estados, soportes operativos, reportes e identificadores transaccionales necesarios para el funcionamiento del servicio.
  • Gestión operativa de novedades: atender y tramitar novedades operativas asociadas a ÓRDENES DE DISPERSIÓN (por ejemplo, rechazos, devoluciones, ajustes, inconsistencias o validaciones), y efectuar las comunicaciones y gestiones internas o con ENCARGADOS/ALIADOS que sean necesarias dentro del alcance del
  • Atención al USUARIO y PQR: gestionar solicitudes, peticiones, quejas, reclamos, consultas y comunicaciones del USUARIO o del TITULAR, incluyendo el seguimiento de casos y la entrega de respuestas por los canales habilitados.
  • Seguridad, prevención de fraude y continuidad: prevenir, detectar y gestionar eventos de seguridad, accesos no autorizados, uso indebido de CUENTAS, incidentes de ciberseguridad y conductas fraudulentas o anómalas, así como asegurar la disponibilidad e integridad de la
  • Cumplimiento legal y regulatorio: cumplir obligaciones legales, requerimientos de autoridades competentes y deberes asociados a programas de cumplimiento (por ejemplo, prevención y control LA/FT/FPADM, cuando aplique), así como atender solicitudes de información en los términos permitidos por la ley.
  • Relación con ENCARGADOS y proveedores: permitir la operación de la PLATAFORMA mediante la transmisión de información a ENCARGADOS del TRATAMIENTO (proveedores tecnológicos, hosting, verificadores y aliados operativos), estrictamente para ejecutar las actividades que el RESPONSABLE les encomiende dentro de las finalidades aquí descritas.
  • Auditoría, control y mejora del servicio: realizar controles internos, auditorías, análisis operativos y estadísticas para mejorar la PLATAFORMA, corregir fallas, optimizar procesos, generar métricas y fortalecer la experiencia del USUARIO, preferiblemente con datos agregados o anonimizados cuando sea posible.
  • Comunicaciones informativas del servicio: enviar comunicaciones operativas o informativas relacionadas con el registro, seguridad, habilitación, cambios relevantes del servicio, actualizaciones necesarias y notificaciones asociadas al uso de la

El RESPONSABLE no tratará DATOS PERSONALES para finalidades distintas a las aquí previstas sin contar con una base legal aplicable o, cuando corresponda, sin recabar una nueva AUTORIZACIÓN del TITULAR.

 

 

7.   Cookies y tecnologías similares

La PLATAFORMA podrá utilizar cookies y tecnologías similares (por ejemplo, tags, píxeles o identificadores) para permitir el funcionamiento del sitio, mejorar la experiencia de navegación, fortalecer la seguridad y obtener métricas de uso, conforme a lo previsto en esta Política y en la normativa aplicable.

7.1. ¿Qué son las cookies?

Las cookies son archivos o fragmentos de información que se almacenan en el dispositivo del USUARIO cuando visita un sitio web y que permiten reconocer el navegador, recordar preferencias o recopilar información técnica sobre la navegación.

7.2. ¿Para qué usamos cookies?

El RESPONSABLE podrá utilizar cookies y tecnologías similares para las siguientes finalidades:

  • Cookies necesarias: habilitar funciones esenciales de la PLATAFORMA (por ejemplo, autenticación, inicio de sesión, mantenimiento de sesión, balanceo de carga y medidas de seguridad).
  • Cookies de rendimiento y analítica: medir el uso de la PLATAFORMA, generar estadísticas, detectar errores, mejorar tiempos de respuesta y optimizar funcionalidades (preferiblemente con información agregada).
  • Cookies de seguridad: prevenir fraudes, identificar comportamientos anómalos, proteger cuentas y reducir riesgos de acceso no autorizado.

El RESPONSABLE no utilizará cookies con fines publicitarios o de perfilamiento comercial sin informar previamente al USUARIO y, cuando corresponda, obtener su consentimiento.

 

7.3. Gestión y control de cookies

El USUARIO puede aceptar, bloquear o eliminar cookies a través de la configuración de su navegador. Sin embargo, el bloqueo de cookies necesarias puede afectar el funcionamiento de la PLATAFORMA o impedir el acceso a ciertas funcionalidades.

Cuando la PLATAFORMA implemente un banner o herramienta de gestión de cookies, el USUARIO podrá administrar sus preferencias por categoría, conforme a las opciones disponibles.

En algunos casos, la PLATAFORMA podrá integrar servicios de terceros (por ejemplo, analítica o seguridad) que utilicen cookies o tecnologías similares. En esos eventos, el TRATAMIENTO de la información podrá estar sujeto a las políticas de dichos terceros, sin perjuicio de las obligaciones del RESPONSABLE frente al TITULAR.

8.   Venta, Licenciamiento, Transmisión y Referencia de la Información

8.1. Venta o comercialización de DATOS PERSONALES

El RESPONSABLE no vende ni comercializa los DATOS PERSONALES de los TITULARES como actividad principal del servicio. En consecuencia, los DATOS PERSONALES serán tratados únicamente para las finalidades previstas en esta Política y en el marco de la operación de la PLATAFORMA.

Cuando, por razones excepcionales, se pretendiera usar información para finalidades distintas (por ejemplo, campañas comerciales propias que impliquen segmentación adicional), el RESPONSABLE lo informará previamente y, cuando corresponda, recabará la AUTORIZACIÓN del TITULAR o aplicará la base legal pertinente.

 

8.2. Licenciamiento de información

El RESPONSABLE no otorga licencias sobre los DATOS PERSONALES del TITULAR a terceros para su explotación autónoma. El acceso de terceros a la información solo podrá ocurrir bajo esquemas de TRANSMISIÓN o TRANSFERENCIA, según aplique, y únicamente para las finalidades descritas en esta Política y en los términos permitidos por la ley.

8.3. TRANSMISIÓN a ENCARGADOS DEL TRATAMIENTO

Para operar la PLATAFORMA y prestar el servicio de CANALIZACIÓN de ÓRDENES DE DISPERSIÓN, el RESPONSABLE podrá TRANSMITIR DATOS PERSONALES a ENCARGADOS DEL TRATAMIENTO (por ejemplo, proveedores tecnológicos, hosting, servicios de verificación y ALIADOS operativos), exclusivamente para que estos realicen actividades por cuenta del RESPONSABLE y conforme a sus instrucciones.

En estos casos, el RESPONSABLE procurará que los ENCARGADOS asuman obligaciones de confidencialidad, seguridad, uso limitado y cumplimiento normativo, y que traten la información únicamente para las finalidades encomendadas.

8.4. TRANSFERENCIA a terceros RESPONSABLES

La TRANSFERENCIA de DATOS PERSONALES a terceros que actúen como RESPONSABLES (es decir, que decidan sobre el TRATAMIENTO) solo se realizará cuando exista una base legal aplicable, o cuando el TITULAR haya otorgado la AUTORIZACIÓN correspondiente, o cuando sea exigida por autoridad competente. Cuando aplique, se informará al TITULAR sobre el tercero receptor y el propósito de la transferencia, conforme a la normativa vigente.

El RESPONSABLE podrá referenciar, contrastar o verificar la información suministrada por el TITULAR o por el USUARIO con fuentes legítimas, bases de datos, listas y mecanismos de verificación que resulten necesarios para: (i) validación de identidad; (ii) seguridad y prevención de fraude; (iii) cumplimiento normativo; y (iv) verificación de consistencia para la prestación del servicio. Dichas verificaciones se realizarán dentro de los límites permitidos por la ley y conforme a las finalidades de esta Política.

En caso de requerimientos de autoridades competentes, el RESPONSABLE podrá compartir información en los términos legalmente exigibles, observando el principio de minimización y, cuando sea procedente, dejando trazabilidad de la entrega.

9.   Derechos del Titular y Procedimiento para Ejercerlos

9.1. Derechos del TITULAR

De conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013, el TITULAR de los DATOS PERSONALES tiene, entre otros, los siguientes derechos:

  • Conocer, actualizar y rectificar sus DATOS PERSONALES frente al RESPONSABLE o ENCARGADO del
  • Solicitar prueba de la AUTORIZACIÓN otorgada, salvo cuando exista una excepción legal.
  • Ser informado, previa solicitud, respecto del uso que se le ha dado a sus DATOS PERSONALES.
  • Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la normativa de protección de datos personales.
  • Revocar la AUTORIZACIÓN y/o solicitar la supresión del DATO PERSONAL cuando no se respeten los principios, derechos y garantías constitucionales y legales, o cuando no exista un deber legal o contractual que impida su eliminación.
  • Acceder en forma gratuita a sus DATOS PERSONALES objeto de TRATAMIENTO, al menos una vez al mes calendario y cada vez que existan modificaciones sustanciales a esta Política.

 

9.2. Canales habilitados

El TITULAR podrá ejercer sus derechos presentando CONSULTAS o RECLAMOS a través de los siguientes canales:

  • Correo electrónico: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

El RESPONSABLE podrá solicitar información adicional para verificar la identidad del TITULAR y evitar accesos no autorizados.

9.3.  Consultas

Las CONSULTAS serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no sea posible atender la CONSULTA dentro de dicho término, el RESPONSABLE informará al TITULAR los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

9.4. RECLAMOS (actualización, rectificación, supresión o revocatoria)

El RECLAMO deberá contener como mínimo: (i) identificación del TITULAR; (ii) descripción de los hechos que dan lugar al reclamo; (iii) dirección y datos de contacto; y (iv) los documentos que se quieran hacer valer.

Si el RECLAMO resulta incompleto, el RESPONSABLE requerirá al TITULAR dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las fallas. Si transcurren dos (2) meses desde la fecha del requerimiento sin que el TITULAR presente la información requerida, se entenderá que ha desistido del RECLAMO.

El término máximo para atender el RECLAMO será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no sea posible atenderlo dentro de dicho término, el RESPONSABLE informará los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

9.5. Revocatoria de la AUTORIZACIÓN y supresión de DATOS

La revocatoria de la AUTORIZACIÓN y/o la solicitud de supresión procederán cuando: (i) no exista un deber legal o contractual que obligue a conservar la información, o (ii) se demuestre que no se respetaron los principios, derechos y garantías constitucionales y legales.

El RESPONSABLE podrá negar la supresión o revocatoria cuando la conservación del DATO PERSONAL resulte necesaria para el cumplimiento de una obligación legal o contractual, o para la atención de requerimientos de autoridad competente.

9.6. Quejas ante la SIC

El TITULAR podrá presentar quejas ante la Superintendencia de Industria y Comercio cuando considere que se ha infringido la normativa de protección de datos personales. No obstante, se recomienda agotar previamente el trámite de CONSULTA o RECLAMO ante el RESPONSABLE.

10. Tratamiento de Datos Sensibles

El RESPONSABLE reconoce que los DATOS PERSONALES SENSIBLES gozan de una protección reforzada y, por regla general, su TRATAMIENTO está sujeto a restricciones especiales conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013 y las normas que lo complementen y/o modifiquen.

En atención a la naturaleza del servicio prestado por la PLATAFORMA (canalización de ÓRDENES DE DISPERSIÓN), el RESPONSABLE no requiere ni solicita como condición general para el registro, habilitación o uso de la PLATAFORMA el suministro de DATOS PERSONALES SENSIBLES. En consecuencia, el USUARIO no debe cargar ni suministrar DATOS PERSONALES SENSIBLES a través de la PLATAFORMA, salvo que el RESPONSABLE lo solicite de forma expresa y justificada para lo permitido por la ley.

Cuando, por razones estrictamente necesarias y permitidas por la normativa aplicable, sea indispensable tratar un DATO PERSONAL SENSIBLE (por ejemplo, para mecanismos reforzados de autenticación o seguridad), el RESPONSABLE observará las siguientes reglas:

  • El suministro de DATOS PERSONALES SENSIBLES será voluntario por parte del
  • El TITULAR será informado de manera previa, clara y expresa sobre: (i) qué dato sensible se requiere, (ii) la finalidad específica del TRATAMIENTO, (iii) el carácter voluntario de su entrega, y (iv) los derechos que le asisten.
  • El RESPONSABLE recabará la AUTORIZACIÓN explícita del TITULAR para el TRATAMIENTO del DATO PERSONAL SENSIBLE, cuando corresponda, y conservará evidencia de dicha AUTORIZACIÓN.

En ningún caso el RESPONSABLE condicionará el acceso general a la PLATAFORMA al suministro de DATOS PERSONALES SENSIBLES, salvo que dicho dato sea estrictamente necesario para una funcionalidad específica de seguridad o cumplimiento y exista soporte legal para ello; en tal evento, el RESPONSABLE informará las alternativas disponibles y el alcance de la restricción.

En el evento en que el USUARIO cargue DATOS PERSONALES SENSIBLES sin que hayan sido solicitados por el RESPONSABLE, este podrá adoptar medidas para restringir su uso, solicitar su corrección o eliminación y/o requerir que el USUARIO se abstenga de suministrar este tipo de información, en aplicación del principio de minimización y seguridad.

11. Subcontratación y Encargados del Tratamiento

Para operar la PLATAFORMA y prestar el servicio de canalización de ÓRDENES DE DISPERSIÓN, el RESPONSABLE podrá contratar o subcontratar a terceros que actúen como ENCARGADOS DEL TRATAMIENTO, tales como proveedores de infraestructura tecnológica, hosting, servicios de mensajería, herramientas de verificación, analítica, seguridad y ALIADOS operativos que intervengan en el flujo.

En estos casos, el RESPONSABLE garantizará, en lo pertinente, que dichos ENCARGADOS:

  • Traten los DATOS PERSONALES únicamente conforme a las instrucciones del RESPONSABLE y para las finalidades previstas en esta Política;
  • Mantengan la confidencialidad de la información;
  • Implementen medidas de seguridad razonables y acordes con la naturaleza del servicio;
  • No usen los DATOS PERSONALES para fines propios o distintos a los instruidos; y
  • Apoyen al RESPONSABLE, cuando sea aplicable, en la atención de CONSULTAS, RECLAMOS e incidentes de seguridad relacionados con los DATOS PERSONALES.

La subcontratación no exime al RESPONSABLE de sus obligaciones frente al TITULAR. El RESPONSABLE continuará siendo responsable de garantizar el cumplimiento de esta Política y de la normativa aplicable en relación con el TRATAMIENTO de los DATOS PERSONALES.

Cuando la participación de terceros implique TRANSMISIÓN o TRANSFERENCIA de DATOS PERSONALES, el RESPONSABLE actuará conforme a las reglas previstas en esta Política y a la normativa vigente, incluyendo las restricciones aplicables a transferencias internacionales, cuando a ello haya lugar.

12. Área Responsable

El RESPONSABLE designa como área responsable de la implementación, administración y seguimiento de la presente Política, así como de la atención de CONSULTAS y RECLAMOS de los TITULARES, a:

Área/Dependencia: _________________________
Correo electrónico: _________________________
Dirección: _________________________
Horario de atención: _________________________

13.  Medidas De Seguridad y Gestión De Incidentes

El RESPONSABLE implementa medidas técnicas, humanas y administrativas razonables para proteger los DATOS PERSONALES contra acceso no autorizado, pérdida, alteración, uso indebido, divulgación no autorizada o cualquier forma de TRATAMIENTO no permitido, considerando la naturaleza del servicio prestado por la PLATAFORMA y los riesgos asociados.

Sin perjuicio de lo anterior, las medidas de seguridad podrán incluir, según corresponda:

  • Controles de acceso y autenticación para USUARIOS y personal autorizado;
  • Administración de roles y privilegios bajo el principio de necesidad de conocer (“need to know”);
  • Registro y monitoreo de eventos relevantes de seguridad;
  • Mecanismos de cifrado o protección de información en tránsito y/o en reposo, cuando aplique;
  • Copias de seguridad y procedimientos de continuidad;
  • Medidas de seguridad física y lógica en la infraestructura utilizada; y
  • Acuerdos de confidencialidad y obligaciones de seguridad con ENCARGADOS del TRATAMIENTO y subcontratistas.

13.1.       Gestión de incidentes

En caso de presentarse un incidente de seguridad que comprometa o pueda comprometer DATOS PERSONALES, el RESPONSABLE adoptará medidas razonables para: (i) contener y mitigar el incidente; (ii) investigar su causa y alcance; (iii) implementar acciones correctivas; y (iv) preservar la evidencia técnica cuando resulte necesario.

Cuando sea aplicable, el RESPONSABLE podrá comunicar el incidente a las autoridades competentes y/o a los TITULARES, en los términos exigidos por la normativa vigente y conforme a la evaluación del riesgo y alcance del evento.

El TITULAR y el USUARIO se obligan a notificar oportunamente al RESPONSABLE cualquier evento del que tengan conocimiento que pueda comprometer la seguridad de la CUENTA o la integridad de los DATOS PERSONALES (por ejemplo, pérdida de credenciales, accesos no autorizados o suplantación), a través de los canales habilitados.

14. VIGENCIA

La presente Política de Tratamiento de Datos Personales rige a partir del 1 de marzo de 2026 y permanecerá vigente mientras el RESPONSABLE realice TRATAMIENTO de DATOS PERSONALES en el marco de la operación de la PLATAFORMA.

Los DATOS PERSONALES serán conservados durante el tiempo necesario para cumplir las finalidades descritas en esta Política y, en todo caso, por el término requerido para: (i) mantener y administrar la relación con el USUARIO; (ii) atender obligaciones legales o requerimientos de autoridad competente; y/o (iii) soportar el ejercicio o defensa de derechos en actuaciones administrativas o judiciales. Cumplidas dichas finalidades y siempre que no exista deber legal o contractual de conservación, el RESPONSABLE procederá a su supresión o anonimización, según corresponda.

15. MODIFICACIONES A LA POLÍTICA

El RESPONSABLE podrá modificar o actualizar la presente Política cuando sea necesario para reflejar cambios normativos, operativos, de seguridad o asociados a la prestación del servicio.

Las modificaciones serán publicadas en los canales oficiales del RESPONSABLE y/o en la PLATAFORMA y se informarán a los TITULARES a través de los medios de contacto disponibles cuando el cambio sea material. En todo caso, el RESPONSABLE procurará garantizar que los TITULARES puedan acceder a la versión vigente de la Política y ejercer sus derechos conforme a la normativa aplicable.

Las modificaciones aplicarán a partir de su publicación (o desde la fecha posterior que se indique). En ningún caso se afectarán de manera retroactiva los derechos del TITULAR respecto de tratamientos ya realizados, salvo que una norma aplicable exija lo contrario.