Política de tratamiento de Datos Personales

Iris CF - Compañía de Financiamiento S.A., en adelante LA ENTIDAD, como responsable del tratamiento y en cumplimiento con lo indicado en la Ley 1581 de 2012 "por la cual se dictan disposiciones generales para la protección de datos personales" y el Decreto 1377 de 2013 "por el cual se reglamenta parcialmente la Ley 1581 de 2012", desarrolla la presente Política de Tratamiento de Datos Personales, así:

Establecer los criterios para la recolección, almacenamiento, uso, conservación, circulación, segmentación, procesamiento, individualización, validación, identificación, control, custodia, transmisión, transferencia y supresión de los datos personales tratados por LA ENTIDAD.

La presente política aplica para toda la información personal registrada en las bases de datos de LA ENTIDAD, quien actúa en calidad de responsable de su tratamiento.

Esta política es de obligatorio y estricto cumplimiento para LA ENTIDAD.

Iris CF - Compañía de Financiamiento S.A., sociedad comercial legalmente constituida, identificada con el NIT 811.007.729-4, con domicilio principal en la carrera 43 A # 7 50 A, Piso 17, Medellín – Colombia, sitios web:

• www.iriscf.co
• www.dannregional.com.co
• www.iris.com.co.

LA ENTIDAD deberá solicitar la autorización de manera que el titular de la información otorgue su consentimiento previo, expreso e informado del tratamiento de sus datos personales.

La autorización también podrá obtenerse a partir de conductas inequívocas del titular del dato, las cuales permitan concluir de manera razonable que otorgó su consentimiento para el tratamiento de su información. Dichas conductas deben exteriorizar de manera clara la voluntad de autorizar el tratamiento.

LA ENTIDAD realizará el tratamiento (recolección, almacenamiento, uso, entre otros) de los datos personales de acuerdo con lo establecido por la ley y los mandatos judiciales o administrativos, así como por lo dispuesto en las autorizaciones cuando corresponda para cumplir en especial las actividades propias de su función.

El tratamiento de los datos personales se podrá realizar a través de medios físicos, automatizados o digitales de acuerdo con el tipo y forma de recolección de la información personal.

LA ENTIDAD realizará el tratamiento de los datos personales en cumplimiento de sus funciones legales o judiciales y de acuerdo con las finalidades establecidas en las autorizaciones respectivas cuando corresponda. De manera particular para las siguientes finalidades:

1. Llevar a cabo las gestiones necesarias tendientes a confirmar y actualizar la información del Titular.
2. Contactar al Titular a través de correo electrónico, mensajes de texto, llamadas, redes sociales o cualquier otra plataforma similar, para establecer comunicación con este.
3. Validar y verificar la identidad del Titular para administrar y ofrecer productos y servicios, así mismo para compartir la información con diversos actores del mercado a través de cualquier medio o canal de acuerdo con el perfil del Titular.
4. Establecer, mantener y terminar relaciones contractuales con el Titular.
5. Conocer el comportamiento financiero, comercial, crediticio y el cumplimiento de las obligaciones legales del Titular.
6. Consultar y cotejar la información de los Titulares con la almacenada en las diferentes bases de datos de autoridades, entidades estatales y terceros como, por ejemplo: operadores de información, entidades del Sistema de Seguridad Social, Registraduría Nacional del Estado Civil, Banco de Datos, entre otras entidades afines.
7. Recibir información respecto a campañas comerciales actuales y futuras, promoción de productos y servicios tanto propios como de terceros, educación financiera y sobre las innovaciones efectuadas sobre productos o servicios; y demás comunicaciones necesarias para mantener informado y enterado al Titular mediante: llamada telefónica, mensaje de texto, correo electrónico, o cualquier red social de integración o mensajería instantánea, entre otros; así como efectuar análisis e investigaciones comerciales, estadísticas, de riesgos, de mercado, interbancaria y financiera incluyendo contactar al Titular para estos fines.
8. Recibir mensajes relacionados con la gestión de cobro y recuperación de cartera, ya sea directamente o mediante un tercero contratado para tal función. (En caso de que aplique).
9. Suministrar información legal, de seguridad, de servicio o de cualquier otra índole.
10. Conocer la ubicación y datos de contacto del Titular para efectos de notificaciones con fines de seguridad y ofrecimiento de beneficios y ofertas comerciales.
11. Prevenir el lavado de activos, la financiación del terrorismo, detectar el fraude, corrupción, y otras actividades contrarias a la ley, así como transferir datos personales fuera del país para cumplir con las regulaciones antilavado de activos que le aplican.
12. Realizar consultas acerca de multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza.
13. Gestionar trámites como solicitudes, quejas y reclamos, así como cualquier gestión que pretenda adelantar el Titular.
14. Transmitir y transferir los datos personales dentro y fuera del país a terceros con los cuales LA ENTIDAD haya suscrito cualquier tipo de contrato o convenio y sea necesario entregarlos para el cumplimiento del objeto contractual, así como transmitir los datos personales cuando sean necesarios para adelantar procesos de gestión de riesgos y demás seguridades requeridas por LA ENTIDAD.
15. Custodiar de manera adecuada y suficiente la información recolectada de los Titulares, a través de plataformas tecnológicas que generen mecanismos de seguridad confiables, con la finalidad de acceder a los datos mediante roles y perfiles de acceso previamente definidos.
16. Controlar el acceso a las oficinas y establecer medidas de seguridad, incluyendo el establecimiento de zonas videovigiladas.
17. Dar respuesta a consultas y requerimientos efectuados por los organismos judiciales, administrativos y de control, así como transmitir y transferir los datos a personas jurídicas y/o naturales que en virtud de la ley aplicable deban recibir los mismos.
18. Determinar las obligaciones pendientes con LA ENTIDAD por parte de los Titulares, consultar su información financiera e historia crediticia y reportar a centrales de información sus obligaciones incumplidas. (En caso de que aplique).
19. 19. Permitir la utilización de los distintos servicios a través de los sitios web de LA ENTIDAD, incluyendo descargas de contenidos y formatos, así como el procesamiento de información.
20. 20. Compartir información de los Titulares con entidades con las cuales LA ENTIDAD tenga contratadas pólizas de seguro con ocasión a los contratos celebrados con los Titulares.
21. 21. Dar cumplimiento a las obligaciones contraídas por LA ENTIDAD con el Titular de la Información, en relación con el pago de salarios, prestaciones sociales y demás retribuciones consagradas en el contrato de trabajo o según lo disponga la ley. (Aplica solo para Empleados).
22. 22. Informar las modificaciones que se presenten en desarrollo del contrato de trabajo al Empleado Titular de la Información. (Aplica solo para Empleados).
23. 23. Evaluar la calidad de los servicios ofrecidos por el Empleado Titular de la Información. (Aplica solo para Empleados).
24. 24. Tratar información de aspirantes o candidatos dentro de LA ENTIDAD, con la finalidad de realizar procesos de selección y evaluación del aspirante así como su eventual vinculación a la Entidad. (Aplica solo para aspirantes o candidatos).
25. 25. Realizar las actividades de manejo integral del libro de registro de accionistas. (Aplica solo para accionistas).
26. 26. Cualquier otra actividad o proceso de naturaleza similar a las anteriormente señaladas y que sean necesarias para permitir el desarrollo del objeto social de LA ENTIDAD.

El Titular tiene derecho a optar por no suministrar cualquier información sensible que eventualmente pueda solicitarse, relacionada, entre otros, con datos sobre su origen racial o étnico, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, convicciones políticas, religiosas, de la vida sexual, biométricos o datos de salud, salvo que se requieran para el ejercicio de funciones legales o cuando exista orden de autoridad administrativa o judicial.

Los datos sensibles que llegaren a ser recolectados serán tratados con las siguientes finalidades:

1. Identificar, validar, autorizar o verificar a los Titulares en sus transacciones (Iris, Huella dactilar, reconocimiento facial, voz, entre otros mecanismos de identificación), además de contener esta información en códigos QR, de barras o de otro tipo, para que LA ENTIDAD y/o sus proveedores puedan realizar su respectivo proceso de validación y seguridad.

La Ley 1581 de 2012 establece que los Titulares de los datos personales tendrán los siguientes derechos:

1. Conocer, actualizar y rectificar mis datos personales frente a LA ENTIDAD. Este derecho lo podré ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado previamente por mi parte.
2. Solicitar prueba de la autorización otorgada a LA ENTIDAD como Responsable, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
3. Ser informado por LA ENTIDAD como Responsable del Tratamiento, previa solicitud, respecto del uso que les ha dado a los datos personales del Titular.
4. Presentar ante la autoridad competente quejas por infracciones a lo dispuesto en la legislación que regula la materia de Tratamiento de Datos Personales.
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se me respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento la Compañía ha incurrido en conductas contrarias a esta Ley y a la Constitución.
6. Acceder en forma gratuita a los datos personales proporcionados que hayan sido objeto de Tratamiento. La información solicitada por el Titular podrá ser suministrada por cualquier medio, incluso a través de medios electrónicos.
7. Los anteriores derechos se entienden, sin perjuicio de las obligaciones legales, administrativas, de seguridad y diligencia que LA ENTIDAD debe tener en ejecución.

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular.
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la citada ley.
9. Exigir al Encargado del Tratamiento el respeto, en todo momento, a las condiciones de seguridad y privacidad de la información del Titular.
10. Tramitar las consultas y solicitudes formuladas en los términos señalados en la ley.
11. Adoptar las políticas y procedimientos necesarios para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y solicitudes.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la solicitud y no haya finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la autoridad competente.

LA ENTIDAD podrá tratar datos de menores de edad conforme al interés superior de los niños, niñas y adolescentes (NNA), y respetando sus derechos fundamentales. La autorización debe ser otorgada por personas que estén facultadas para representar los NNA. El representante de los NNA deberá garantizarles el derecho a ser escuchados y valorar su opinión del tratamiento teniendo en cuenta la madurez, autonomía y capacidad de los NNA para entender el asunto.

Para realizar consultas sobre la información personal que reposa del Titular en las bases de datos de LA ENTIDAD o solicitudes encaminadas a corregir, actualizar, rectificar, suprimir o revocar la autorización, LA ENTIDAD cuenta con canales de gestión de sus requerimientos o trámites en materia de protección de datos personales.

Para la radicación y atención de la solicitud del Titular, se solicita suministrar la siguiente información:

• Nombre completo y apellidos.
• Datos de contacto (dirección física y/o electrónica y teléfonos de contacto).
• Medios para recibir respuesta a la solicitud.
• Motivo(s) o hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información).

Atención Virtual

servicio_cliente@iris.com.co

Activo las 24 horas, entendiéndose como hábil de lunes a viernes de 7:30 a.m. a 5 p.m.

Atención Telefónica

018000 18 1234 Lunes a viernes (días hábiles) de 7:30 a.m. a 5:00 p.m. Jornada continua.

Toda solicitud recibida fuera del horario establecido para la atención al público se entenderá recibida el día hábil siguiente.

Las consultas se absolverán en un término máximo de diez (10) días hábiles, contados a partir del día siguiente de la fecha de su recepción.

Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que será atendida, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

El Titular cuenta con canales de atención presencial, virtual y telefónico por los cuales los Titulares obtienen información completa, clara y precisa sobre las condiciones de tiempo, modo y lugar en que se atenderán o gestionarán sus requerimientos o trámites.

El Titular de datos personales tiene derecho en todo momento a solicitar a LA ENTIDAD, la revocatoria y/o supresión (eliminación) de sus datos personales, siempre y cuando no se trate de datos utilizados para las actividades propias de la misión de LA ENTIDAD, los cuales se regirán por la normativa especial.

El derecho de supresión no es un derecho absoluto por lo que LA ENTIDAD como responsable del tratamiento de datos personales puede negar o limitar el ejercicio de este cuando:

1. El Titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
2. La eliminación de datos obstaculiza actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
3. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
4. Los datos sean datos utilizados en las actividades de la misión de LA ENTIDAD.
5. No obstante, lo anterior, se garantizará que los datos se utilicen exclusivamente para el fin solicitado y se dé a la información la reserva correspondiente.
6. La revocatoria y/o supresión procederá cuando la autoridad competente haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la Ley 1581 de 2012 y a la Constitución, por muerte del Titular, y/o por orden judicial.

LA ENTIDAD podrá realizar la transferencia de datos a otros responsables del tratamiento cuando se realice en el ejercicio de sus funciones, obligaciones, o cuando así esté autorizado por el Titular de la información o por la ley o por un mandato administrativo o judicial.

LA ENTIDAD podrá enviar o transmitir datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia en los siguientes casos:

1. Para el ejercicio de sus funciones.
2. Cuando cuente con autorización de titular.
3. Cuando sin contar con la autorización exista entre el responsable y el encargado un contrato de transmisión de datos.

La ley exceptúa del régimen de protección de datos personales a (i) los archivos y las bases de datos pertenecientes al ámbito personal o doméstico; (ii) los que tienen por finalidad la seguridad y la defensa nacionales, la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, (iii) los que tengan como fin y contengan información de inteligencia y contrainteligencia, (iv) los de información periodística y otros contenidos editoriales, (v) los regulados por la Ley 1266 de 2008 (información financiera y crediticia, comercial, de servicios y proveniente de terceros países) y (vi) los regulados por la Ley 79 de 1993 (sobre censos de población y vivienda).

La política establecida por LA ENTIDAD respecto al tratamiento de Datos Personales podrá ser modificada en cualquier momento. Toda modificación se realizará con apego a la normatividad legal vigente, y la misma entrará en vigencia y tendrá efectos desde su publicación a través de los mecanismos dispuestos por LA ENTIDAD para que los titulares conozcan la política de tratamiento de la información y los cambios que se produzcan en ella.

La presente Política para el Tratamiento de Datos Personales rige a partir de su publicación.

Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta Política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, los datos serán suprimidos de las bases de datos de LA ENTIDAD, siempre y cuando medie solicitud expresa del interesado.