efinti® – CORE SOFT S.A.S.

POLÍTICA DE PRIVACIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES

Alcance, principios y lineamientos para la protección de Datos Personales

Política de Protección de Datos Personales

Para efectos de esta Política, el término “cliente” incluye a los individuos que mantengan una relación contractual con Las entidades para la prestación de sus productos y servicios, así como a aquellos individuos que contacten o interactúen con Las entidades, a través de los distintos medios y canales disponibles, para conocer sus productos y servicios, o con el interés de contratarlos.

El término “cliente” también incluye a aquellos individuos cuya relación comercial con Las entidades ha terminado, pero cuya información o datos personales se conserven, según lo previsto en la presente Política.

Por su parte, el término “relacionados”, incluye a las siguientes personas naturales vinculadas a los clientes, sean los clientes personas naturales o entidades: cotitulares, accionistas y socios, beneficiarios finales y controladores, directores, dignatarios, ejecutivos, firmantes autorizados y representantes, garantes, protectores, fideicomitentes, fiduciarios, o cualquier otra persona natural relacionada al cliente, cuya información sea requerida por ser relevante para la prestación de los productos y servicios de Las entidades.

Quedan excluidos del alcance de esta Política, los datos disociados o anonimizados, de forma que no se relacionen con una persona identificable. También quedan excluidos del alcance de esta Política, el tratamiento de datos personales relacionados con proveedores, empleados, directores, dignatarios o accionistas de Las entidades, los cuales serán abordaros en Políticas separadas.

En esta Política, el término “procesamiento o tratamiento de datos personales”, incluye actividades como, obtener, recopilar, almacenar, grabar, registrar, asociar, disociar, comunicar, interconectar, intercambiar, transferir, transmitir, organizar consultar, analizar, combinar, bloquear, cancelar, eliminar, inferir y en general utilizar datos personales.

La información contenida en esta Política será divulgada a través de los distintos medios y canales de Las entidades, para conocimiento de los clientes, sus relacionados y del público en general. Así mismo, las modificaciones y actualizaciones de esta Política serán divulgadas a través de los distintos medios y canales de Las entidades, para conocimiento del cliente, sus relacionados y del público en general. En la medida en que así lo haya aceptado el cliente a través de los formatos y contratos, el contenido de esta Política y sus modificaciones, cuando sean divulgadas, es vinculante y prevalecerá sobre los documentos y contratos suscritos por el cliente, en lo que respecta al tratamiento y la privacidad de sus datos personales, salvo que tales documentos o contratos, establezcan de forma expresa, que su contenido en esta materia prevalece sobre esta Política.

Principios y Lineamientos para la Protección de Datos Personales

En el tratamiento de los datos personales tendremos en cuenta los siguientes principios y lineamientos:

Procesamiento Justo, Lícito y Transparente.

Los datos personales de los clientes y sus relacionados se recabarán sin engaño, ni falsedad y sin utilizar medios fraudulentos, desleales o ilícitos.

Para la obtención de los datos personales, seremos transparentes e informaremos acerca de nuestro rol como controladores o responsables de dichos datos.

También, seremos transparentes e informaremos, sobre los propósitos o finalidades para los cuales obtenemos y procesamos los datos personales. Esta información estará contenida en nuestras políticas, contratos y formatos, referidos al procesamiento de datos personales, que serán puestas a disposición, a través de los distintos medios y canales de Las entidades, en el momento de la obtención de datos o cuando se entable comunicación, a partir de la obtención de los datos por medio de un tercero.

Las entidades obtendrán datos personales del cliente y sus relacionados, directamente o a través de terceros. Por ejemplo, los datos personales del cliente pueden ser obtenidos a través del cliente o de su representante autorizado; y, los datos personales de los relacionados del cliente, serán obtenidos través del cliente o de su representante autorizado. En estos casos, Las entidades descansan en la autoridad del cliente y de su representante, para entregar y autorizar el procesamiento de datos personales de su relacionados, según lo previsto en esta Política, y en los contratos y formatos de Las entidades en materia de protección de datos personales. El cliente o su representante autorizado informarán al titular de los datos, sobre el contenido de esta Política, los contratos y formatos en materia de protección de datos personales. Esto sin perjuicio de que Las entidades le informen a los titulares, cuando entablen comunicación con estos.

Así mismo, el cliente acepta que sus datos personales y de sus relacionados pueden ser obtenidos a través de la adquisición de bases de datos de terceros. En estos casos, Las entidades evaluarán la idoneidad del proveedor, así como confiabilidad y calidad de la base de datos; y, en el caso de bases de fuentes no públicas, obtendrán las declaraciones de dicho proveedor con respecto al cumplimiento de sus obligaciones en materia de protección de datos personales.

Igualmente, toda información o comunicación que realicen Las entidades, relativa a la protección de datos personales, será en un lenguaje, sencillo y claro, y propenderá por mantenerlo informado sobre sus derechos, en materia de protección de datos personales.

En el Anexo 1 de esta Política encontrará una descripción de la condición de Las entidades como Controladores de Datos; así como el tipo de datos personales que obtenemos y procesamos, su fuente u origen y la categoría de destinatarios.

Propósito o Finalidad.

Los datos personales de los clientes y sus relacionados, serán obtenidos y procesados únicamente para propósitos o finalidades legítimas, especificadas en las políticas, contratos o formatos de Las entidades; y para propósitos o finalidades compatibles con aquellas.

Se entiende que el propósito o finalidad es legítima, cuando se cumpla al menos una de las siguientes condiciones:

Obligaciones Contractuales.

Cuando el procesamiento sea necesario para la ejecución o cumplimiento de una obligación contractual, de la cual el cliente es parte. Esto incluye el procesamiento de datos personales para la atención de consultas, y la entrega de información sobre los atributos y evolución de los productos o servicios contratados. Así mismo, cuando el procesamiento sea necesario para atender una solicitud, con miras a celebrar un contrato.

1.2.2.2 Obligaciones Legales.

Cuando el procesamiento es necesario para el cumplimiento de una obligación prevista en una norma o requerimiento legal aplicable a Las entidades; o cuando el procesamiento es autorizado por una norma legal.

Intereses Legítimos

Cuando el procesamiento es necesario para la satisfacción de intereses legítimos perseguidos por Las entidades, siempre que, frente a estos, no prevalezcan los intereses o derechos o libertades fundamentales del cliente y de sus relacionados, sobre sus datos personales.

El procesamiento basado en intereses legítimos puede incluir el procesamiento para el reconocimiento o defensa de derechos dentro de procesos legales, para finalidades que hagan parte de expectativas razonables dada la relación con el cliente, en la prevención del fraude y gestión de ciberseguridad, en la debida diligencia, y en la evaluación de riesgo, entre otros.

Consentimiento

Cuando el procesamiento de los datos personales no esté habilitado por alguna de las condiciones antes descritas, se obtendrá el consentimiento del cliente, directamente o mediante su representante autorizado, ya sea a través de medios físicos o digitales. Cuando se trate de datos de menores o personas con discapacidad, el consentimiento se obtendrá del acudiente, tutor o  equivalente.

Las entidades obtendrán dicho consentimiento a través de la aceptación de sus políticas, y las disposiciones en contratos o formatos, referidos al procesamiento de datos personales. En estos documentos, el consentimiento se presentará de forma distinguida, expresa, comprensible, utilizando un lenguaje claro y de forma previa al procesamiento de los datos.

Para aquellos procesamientos con finalidades basadas en el consentimiento, se aceptarán solicitudes de revocatoria y oposición. Dependiendo del tipo de procesamiento objetado o revocado, la capacidad de Las entidades de prestar o continuar prestando los productos y servicios contratados, pudiese verse afectada. La revocatoria de consentimientos, no tendrá efectos retroactivos.

En el Anexo 2 de esta Política, se detallan las finalidades o propósitos específicos para los cuales Las entidades obtendrán y procesarán datos personales de clientes y sus relacionados.

Pertinencia y Proporcionalidad

Los datos personales procesados por Las entidades, serán adecuados, pertinentes, relevantes y no excesivos en relación con los propósitos o finalidades para los cuales fueron obtenidos.

Veracidad, Actualización y Periodo de Conservación

Las entidades velarán para que los datos personales procesados sean veraces, correctos y se mantengan actualizados, según sea necesario o razonable, teniendo en cuanta las finalidades que motivan su tratamiento.

Así mismo, Las entidades conservarán los datos personales del cliente y sus relacionados, por el tiempo que sea necesario, para los fines o propósitos específicos para los cuales fueron obtenidos; o por el tiempo requerido por norma. Por regla general, Las entidades tienen la obligación de mantener registros de información por un plazo de al menos cinco (5) años, contados a partir de la terminación de la relación comercial. No obstante, existen reglas específicas que pueden requerir la conservación de información por plazos superiores a este.

Así mismo, Las entidades podrán conservar los datos personales de los clientes y sus relacionados, por plazos superiores, cuando tengan un interés legítimo, por ejemplo, para atender reclamaciones y defender los derechos de Las entidades dentro de procesos legales, o atender requerimientos legales,que pueden tener plazos de prescripción superiores. Vencido el plazo de conservación aplicable, los datos serán eliminados o anonimizados.

En los casos en los cuales los datos personales de los clientes y de sus relacionados sean compartidos con terceros, de conformidad con nuestras políticas, contratos y formatos, en materia de protección de datos personales; las regulaciones y derechos aplicables a dichos terceros, podrían afectar el plazo de conservación de los datos personales.

Seguridad

Las entidades mantendrán políticas internas en materia de seguridad y fraude, diseñadas para cumplir con medidas técnicas y administrativas apropiadas para proteger los datos personales, del acceso, uso, y en general su procesamiento no autorizado o fraudulento, así como su pérdida, destrucción o daño. Estas medidas considerarán los protocolos, procesos y controles para la transferencia, procesamiento y registro seguro de los datos personales, de forma tal que se garantice su confidencialidad, integridad, resiliencia y disponibilidad.

Cuando se tenga conocimiento acerca del acceso, uso o procesamiento no autorizado o fraudulento,así como de la pérdida, destrucción o daño de los datos personales, estos serán informados a los clientes, siempre que pueda representar un riesgo o impacto material.

Los datos personales del cliente y sus relacionados, serán procesados directamente, o através de terceros, incluyendo entidades de Efinti, que ejecutan por cuenta de Las entidades, actividades  y procesos de naturaleza administrativa, operativa y técnica, entre otras. En estos casos, la relación Las entidades con dichos terceros constará descrita en contratos. Estos contratos contendrán las disposiciones necesarias para asegurar que el procesamiento de los datos personales se realice de acuerdo con las instrucciones y el alcance autorizado y definido en el contrato, y en cumplimiento de medidas de seguridad técnicas y administrativas equivalentes a las previstas en esta Política, para evitar el uso indebido o no autorizado de datos personales.

Confidencialidad

Los datos personales estarán sujetos a confidencialidad y reserva, sin perjuicio de la comunicación, suministro o divulgación permitida, basada en el cumplimiento de una condición prevista en esta Política.

Transferencia

Los datos personales del cliente y sus relacionados podrán ser transferidos a un país o jurisdicción distinta a la jurisdicción de Las entidades, siempre que, las entidades que reciban los datos personales apliquen estándares equivalentes a Las entidades en materia de protección de datos personales.

No se exigirá la equivalencia de estándares antes descrita, en los siguientes casos: (i) cuando el titular de los datos otorgue su consentimiento para la transferencia de sus datos personales, aun cuando esta condición de equivalencia no se cumpla; (ii) cuando la transferencia de datos sea necesaria para la celebración, ejecución o cumplimiento de un contrato, celebrado o por celebrar por el titular o en interés de este; (iii) cuando se trate de transferencias realizadas con motivo de transferencias bancarias, dinerarias o del mercado de valores; (iv) cuando la transmisión sea requerida en cumplimiento de acuerdos internacionales ratificados por la República de Panamá y Cayman; (v) cuando la transferencia sea necesaria para propósitos relacionados con un proceso legal, o la obtención de asesoría legal, y en general para la defensa de derechos legales, (vi) cuando la transferencia se realice a cualquier entidad de Efinti, siempre que los datos personales sean utilizados para propósitos o finalidades legítimas especificadas en nuestras políticas, contratos o formatos de consentimiento, y para propósitos o finalidades compatibles con aquellas.

Procesamientos Automatizados

Las entidades podrán tomar decisiones de impacto, basadas exclusivamente en el resultado de un procesamiento automatizado de datos personales, tales como, la asignación de perfil de riesgo, conducta, fiabilidad, preferencias, intereses o comportamiento, de conformidad con lo previsto en sus políticas, contratos o formatos de consentimiento. La lógica aplicada en la creación de perfiles y procesamientos automatizados podrá incluir, entre otros, técnicas de cálculos estadísticos, modelos predictivos utilizando regresiones lineales, uso de variables de riesgo, y factores de confianza y calibración. Las decisiones basadas en procesamientos automatizados podrán impactar el acceso, la oferta y costos de los productos y servicios.

Datos Sensibles

Para el procesamiento de datos personales sensibles, obtendremos el consentimiento, através de esta Política, y los contratos o formatos referidos a la protección de datos personales.

Sin embargo, no será necesario obtener dicho consentimiento cuando el procesamiento sea necesario para (i) la protección de intereses del cliente y sus relacionados, (ii) el reconocimiento, defensa o ejercicio de derechos bajo un proceso legal; o cuando (iii) el procesamiento involucre datos divulgados o hechos públicos por el titular de los datos.

CAPITULO 2

Atención de Requerimientos de Clientes, Legales y Sanciones.Requerimientos De Clientes

Los requerimientos relacionados al procesamiento de datos personales, serán atendidos de forma gratuita, y dentro de los plazos razonables previstos en las normas.

El carácter gratuito de la atención de estos requerimientos podrá tener las limitaciones que establezcan de tiempo en tiempo las normas aplicables. El derecho de los clientes a la atención de estos requerimientos es irrenunciable y solo podrá ser limitado por norma.

A través de distintos medios, Las entidades divulgarán los canales, físicos o electrónicos, que estarán a disposición de los clientes para la atención de estos requerimientos.

Requerimiento de Acceso

Las entidades atenderán las solicitudes de acceso a información referidas a los siguientes datos personales:

• Nombre

• Identificación personal

• Género

• Fecha de nacimiento

• Lugar de nacimiento

• Nacionalidad

• Estado civil

• Título(s) profesional(es)

• Dirección de residencia

• País de residencia fiscal

• Número de identificación tributaria

• Teléfono

• Correo electrónico

• Actividad económica e información laboral

• Origen de fondos e información financiera

Así mismo, serán atendidas las solicitudes de información sobre la fuente de obtención de los datos personales, las categorías de datos personales procesados, las finalidades o propósitos para los cuales estos son procesados, las categorías de destinatarios de los datos personales y los criterios utilizados para determinar el plazo de conservación de los datos personales, según lo previsto en el Anexo 1 y 2 de esta Política.

Quedan excluidos del requerimiento de acceso aquella información referida a clientes y sus relacionados, que resulte de un procesamiento realizado por Las entidades, con la finalidad de llevar

cabo sus planes de negocios, estrategias y administración, y cuyo acceso puede perjudicar el desempeño o desarrollo de sus actividades. Esto incluye, por ejemplo, evaluaciones, investigaciones, análisis o estudios.

Requerimiento de Rectificación

Las entidades atenderán las solicitudes de corrección de datos personales incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes. Las solicitudes de rectificación deberán indicar los datos objeto de rectificación, la corrección que debe realizarse, y estar acompañadas dela documentación que sustente la inexactitud o el carácter incompleto. En la medida en que no se requiera un esfuerzo imposible o desproporcionado para ello, se podrá informar a los destinatarios de los datos sobre la rectificación realizadas.

Requerimiento de Cancelación

Las entidades atenderán las solicitudes para la cancelación de datos personales cuyo tratamiento no sea necesario para las finalidades basadas en una condición legítima, o cuyo tratamiento dependa del consentimiento y este haya sido revocado. No procederá la cancelación, con respecto a datos personales cuyo procesamiento se realice en cumplimiento de una obligación legal o contractual, en virtud de políticas internas en materia de conservación de datos, en virtud de la satisfacción de intereses legítimos, o en virtud de una autorización legal. En estos casos, los datos personales podrán ser bloqueados para restringir su procesamiento para aquellos otros fines que admitan cancelación. Las solicitudes de cancelación deberán indicar los datos objeto de cancelación, y estar acompañadas de la documentación que sustente la cancelación. En la medida en que no se requiera un esfuerzo imposible o desproporcionado para, se podrá informar a los destinatarios de los datos sobre su cancelación.

Requerimiento de Oposición o Revocatoria

Los Banco atenderán las solicitudes de oposición y revocatoria de consentimiento para el procesamiento de datos personales. Sin embargo, se continuará con el procesamiento de datos personales, cuando exista una condición legítima distinta al consentimiento, para continuar dicho procesamiento.

La revocatoria u oposición al procesamiento de datos personales realizado con base en el consentimiento del cliente, podrá afectar la capacidad de Las entidades de continuar prestando sus productos y servicios.

Portabilidad

Una vez emitidas las reglamentaciones correspondientes por parte de los entes de control que rigen a Las entidades, y en cumplimiento de las mismas, se podrán entregar datos personales obtenidos directamente del cliente, a favor de este o de otro controlador de datos personales, de forma estructurada, en formato genérico, de uso común, a través de medios seguros e interoperables, siempre que sea técnicamente posible, y dicho traspaso constituya un propósito o finalidad legítima especificada en sus políticas, contratos o formatos.

ANEXO 1

Dirección de contacto y detalle de datos procesados

Con motivo de la prestación de sus productos y servicios, Las entidades obtienen y procesan datos personales de sus clientes y sus relacionados, incluyendo datos sensibles. Por ello, están comprometidos con la privacidad y el ejercicio responsable de su condición de controladores o responsables de datos personales.

Las entidades tienen la condición de controladores o responsables de los datos personales de sus clientes y relacionados, toda vez que pueden tomar decisiones sobre las finalidades para las cuales se procesan sus datos personales, y sobre la forma en la cual se procesan los mismos, siempre en el marco de lo previsto en esta Política. A continuación, las direcciones de contacto de Las entidades:

Core Soft S.A.S (Colombia) Colombia, Barranquilla

Correo electrónico: info@efinti.com Líneas telefónicas:

En Barranquilla (+57 321 874 3697)

Efinti Usa LLC (Estados Unidos) Estados Unidos, Miami, Florida. Líneas Telefónicas: (+1 786 674 2268) Correo electrónico: info@efinti.com

Efinti (Panamá)

Panamá, ciudad de Panamá. Urbanización los Ángeles, Ave. Los Periodistas, Calle Tael, C-7

Líneas telefónicas: (507) 260-5709 Correo electrónico: info@efinti.com

Efinti Holdings Cayman

Correo electrónico: info@efinti.com Líneas telefónicas:

En Barranquilla Colombia (+57) 321 874 3697

Los datos personales procesados por Las entidades incluyen o pueden incluir, los siguientes, siempre que se trate de datos que permitan identificar al cliente o sus relacionados, como individuos, distinguiéndolos de otros:

• • nombre

  • número de identificación

  • datos de contacto, ubicación o domicilio

  • información sobre una o varias características que reflejen la identidad social, cultural, comercial, financiera, física o socio demográfica, tales como número de cliente o producto,ocupación, profesión, cargos ocupados, participación en entidades, nacionalidad, actividad,situación e historial económico y financiero, perfil transaccional, comportamientoc rediticio, detalle de los productos y servicios contratados, referencias personales, comerciales o financieras, opiniones o calificaciones

• información o datos sensibles, como datos biométricos e información sobre posibles investigaciones y comisión de delitos, identificados durante las verificaciones y gestiones de cumplimiento y de debida diligencia.

Aquellos datos que sean completamente anónimos o disociados, esto es, que no permitan la identificación del individuo, ni directamente, ni a través de su combinación con otros datos; no serán considerados como datos personales.

El cliente acepta que los datos personales que se procesan Las entidades son obtenidos de distintas fuentes, incluyendo: la información que el cliente suministra a través de formatos, durante la interacción física, por teléfono, correos electrónicos, correspondencia u otros medios de comunicación; la información recopilada cuando el cliente use los productos, servicios y canales de Las entidades, incluyendo información sobre el computador o dispositivo móvil, así como información inferida a través de procesos analíticos. Así mismo, Las entidades obtienen información de terceros, que el cliente haya autorizado sea compartida, o se encuentre disponible en fuentes públicas de información.

Los destinatarios o categorías de destinatarios de los datos personales son: los clientes y sus representantes autorizados, terceros autorizados por los clientes, autoridades gubernamentales, proveedores, consultores, aliados estratégicos, contrapartes y corresponsales de Las entidades y entidades de Efinti.

Por regla general, Las entidades mantienen información de clientes y sus operaciones por un plazo de al menos cinco (5) años, contados a partir de la terminación de la relación comercial. No obstante, existen reglas específicas que pueden requerir la conservación de datos por plazos superiores a este.Así mismo, Las entidades conservan datos personales por plazos superiores, cuando exista un interés legítimo, por ejemplo, para atender reclamaciones y defender sus derechos dentro de procesos legales, o atender requerimientos legales, los cuales pueden tener plazos de prescripción superiores.

ANEXO 2

Finalidades o Propósitos

A continuación, se detallan las finalidades  o propósitos para los cuales Las entidades obtienen  y procesan datos personales de clientes y sus relacionados. El cliente conoce y aprueba, estos propósitos o finalidades mediante la aceptación de esta Política, y de los contratos y formatos en materia de protección de datos personales.

Finalidades o Propósitos basados en (i) el cumplimiento contractual, (ii) cumplimiento de normas y requerimientos legales; (iii) la autorización legal o (iv) la satisfacción de intereses legítimos, tales como, el reconocimiento o defensa de derechos dentro de procesos legales, para finalidades que hagan parte de expectativas razonables dada la relación con el cliente, para la prevención del fraude y gestión de ciberseguridad, para la debida diligencia, y la evaluación de riesgo, entre otros:

• para contactarlo, para cualquiera de las finalidades descritas a continuación, por cualquier medio suministrado

• para validar su identidad, en las interacciones con el cliente, incluyendo para la ejecución, verificación y autorización de sus solicitudes y operaciones.

• para ejecutar obligaciones derivadas de un contrato suscrito por el cliente en la prestación de los productos y servicios de Las entidades, incluyendo la entrega del servicio, la gestión del cobro de obligaciones, el procesamiento de pagos y transferencias

• para realizar las gestiones tendientes a establecer una relación contractual que nos haya solicitado

• para administrar sus productos o servicios, así como entregarle información acerca de los productos o servicios que mantiene

• para compartirle información acerca de productos y servicios que se ofrecen, y que pudiesen ser de su interés.

• para notificarle cambios relacionados con los productos y/o servicios que mantiene

• para brindarle soporte en la atención de sus solicitudes, reclamos y requerimientos

• para confirmar y actualizar su información

• para gestionar los riesgos a los cuales Las entidades están expuestos en el desarrollo de sus negocios

• para fines relacionados con la prevención del uso indebido de los productos y servicios, incluyendo la prevención del fraude, el blanqueo de capitales, el financiamiento del terrorismo y la proliferación de armas de destrucción masiva

• para cumplir con las obligaciones legales, en materia prudencial, de intercambio de información para fines fiscales o tributarios, entre otras

• para obtener, a través de terceros, incluyendo entidades de Efinti, servicios, recursos y capacidades; incluyendo capacidades tecnológicas, uso de redes, de alojamiento, almacenamiento, procesamiento y analítica de datos, así como servicios financieros, de asesoría, auditoría, calificación de riesgos, administrativos, operativos y contables, entre otros; que permiten o facilitan el ofrecimiento de los servicios a su favor.

• para obtener la colaboración empresarial de las empresas de Efinti, para la ejecución de las actividades propias de nuestro negocio

• para el ejercicio de los derechos de Las entidades, incluyendo dentro de un proceso legal

• para fines estadísticos, luego de un proceso de disociación o anonimización

• para la definición, estructuración y ejecución de transacciones estratégicas para la operación, modelo de negocio y oferta de servicios de Las entidades, lo cual podrá implicar la transmisión o transferencia de los datos a entidades de Efinti o terceros

• para cualquier otra finalidad requerida para el desarrollo del objeto social de Las entidades y para fines compatibles con los propósitos anteriores, incluyendo el uso de distintos medios y canales, de acuerdo con los avances tecnológicos

Finalidades o Propósitos basados en el consentimiento. El cliente otorga su consentimiento para el procesamiento de sus datos con estos propósitos o finalidades, mediante la aceptación de esta Política, y los contratos y formatos en materia de protección de datos personales de Las entidades

• para el desarrollo de actividades de oferta comercial, publicidad, promoción o mercadeo de productos y servicios, a través de distintos medios de comunicación y redes sociales;

• para el desarrollo y optimización de productos, servicios y canales;

• para obtener, consultar, reportar, rectificar, modificar y eliminar el historial o antecedentes de créditos, ante centrales de riesgo o agencias de información.

• para obtener análisis o evaluación de crédito, investigaciones económicas y comerciales, estadísticas, reputacionales y de mercado.

• para obtener y conocer el estado de sus operaciones, así como su comportamiento financiero, comercial, reputacional, el cumplimiento de sus obligaciones, la imposición de multas y sanciones, en otras entidades, tanto de Efinti como no vinculadas, incluyendo operadores de información o proveedores de bases de datos.

• para obtener, registrar y en general procesar sus datos, para optimizar su experiencia y conocer sus preferencias, monitorear su información, y para presentar contenidos y publicidad relacionados con sus preferencias cuando navegan por los sitios web, plataformas y/o aplicativos tecnológicos y/o digitales de Las entidades, incluyendo el uso de cookies propias y de terceros.

• para compartirla con aliados estratégicos, para que estos puedan ofrecerle beneficios y servicios asociados a los productos y servicios de Las entidades.

• para compartir sus datos con entidades de Efinti, para que estas a su vez puedan procesarla, para contactarlo, verificar y actualizar su información, ofrecerle beneficios, productos y servicios, a través de distintos medios y canales, así como medir, reportar y gestionar su desempeño comercial y administrativo, cumplir con regulaciones que le sean aplicables, gestionar riesgos, y prevenir el uso indebido de sus productos y servicios, a nivel individual o consolidado.

• para la toma de decisiones relevantes para el cliente, relacionadas con la prestación de los productos y servicios, basadas exclusivamente en el procesamiento automatizado de datos personales.

• para transferir datos personales a un país o jurisdicción distinta, donde quienes reciban los datos personales no apliquen estándares equivalentes a los de Las entidades en materia de protección de datos personales.

• para realizar encuestas de satisfacción concerniente a los servicios prestados por Efinti.

• para entregar datos personales a favor de otro controlador de datos personales, de forma estructurada, en formato genérico, de uso común y a través de sistemas interoperables, cuando no exista otra base legítima para hacerlo; incluyendo la exposición de información APIS (Application Programming Interface), y en virtud de ecosistemas de informaciónabierta.

• para compartir información con terceros, tales como, asesores, consultores, contrapartes, aliados, proveedores y corresponsales, cuando lo requieran en el contexto de la ejecución de una transacción o la prestación de servicios financieros, de asesoría o corresponsalía a nuestro favor.

• para compartir información con autoridades extranjeras, cuando sea requerida en el contexto de investigaciones y acciones relacionadas con la prevención del blanqueo de capitales, financiamiento del terrorismo, y cualquier otra actividad ilícita, basado en una norma extranjera con aplicación extraterritorial.

• para la obtención y procesamiento de datos sensibles, para todas las finalidades enunciadasen este Anexo 2.

• Para compartir información con terceros, a solicitud del propio cliente o su representante autorizado.

• Para fines compatibles con los anteriores

SEGUNDA SECCIÓN

La Política De Privacidad De La Información De Entidades Y Sus Relacionados

CAPITULO 3

Lineamientos para el Tratamiento de Información Confidencial

3. 1. Política de Privacidad y Confidencialidad de la Información de Entidades

Para efectos de esta Política, el término “cliente” incluye a las entidades que mantienen con Las entidades una relación contractual para la obtención de productos y servicios, o que contacten o interactúen con Las entidades para conocer los productos y servicios, o con el interés de contratarlos. El término “cliente”, también incluye a las entidades cuya relación comercial con Las entidades haya terminado, pero cuya información o datos personales se conserven según lo previsto en la presentePolítica.

Por su parte, el término “relacionado”, incluye a las siguientes entidades vinculadas a los clientes: cotitulares, accionistas y socios, directores, firmantes autorizados y representantes, garantes, protectores, fideicomitentes, fiduciarios, o cualquier otra entidad relacionada al cliente, cuya información sea requerida por ser relevante para la prestación de nuestros productos y servicios.

Quedan excluidos del alcance de esta Política, los datos disociados o anonimizados, de forma que no se relacionen con una persona identificable. También quedan excluidos del alcance de esta Política, el tratamiento de información confidencial relacionado con los proveedores, empleados, directores, dignatarios o accionistas de Las entidades, para los cuales aplica una Política distinta.

La información contenida en esta Política será divulgada a través de distintos medios y canales, para conocimiento de los clientes, y del público en general. Así mismo serán divulgadas a través de distintos medios y canales, para conocimiento del cliente y del público en general, las modificacionesy actualizaciones de esta Política. En la medida en que así lo haya aceptado el cliente, el contenido de esta Política y sus modificaciones, cuando sean divulgadas, es vinculante para el cliente y sus relacionados, y prevalecerá sobre los documentos y contratos suscritos por el cliente, en lo que respecta al tratamiento y privacidad de su información tratamiento, salvo que tales documentos o contratos, establezcan de forma expresa, que su contenido en esta materia prevalece sobre esta Política.

Lineamientos para el Tratamiento de Información Confidencial

En el tratamiento de la información confidencial de los clientes y sus relacionados, se tendrá en cuenta los siguientes lineamientos:

Confidencialidad

Las entidades divulgarán información sobre los clientes y sus relacionados a favor de terceros, así como información sobre sus operaciones, con el con sentimiento de estos.

Basado en la autorización o consentimiento del cliente, otorgado mediante la aceptación de esta Política, y de los contratos y formatos en materia de protección de datos personales de Las entidades,se compartirá información del cliente y la de sus relacionados en los siguientes casos:

• Para obtener, consultar, compartir y reportar información sobre su comportamiento comercial e historial o antecedentes de créditos, ante centrales de riesgo o agencias de información.

• Para compartir información de sus productos y operaciones y la de sus relacionados, con otras entidades de Efinti, para que estas puedan utilizarla para beneficio de Efinti; incluyendo el desarrollo y oferta de beneficios, productos y servicios, la medición y gestióndel desempeño de Efinti de forma consolidada, la actualización de información del clientey sus relacionados con las entidades de Efinti, la gestión de riesgos a los que estén expuestas las entidades de Efinti en el desarrollo de su negocio, incluyendo la prevencióndel el uso indebido de sus productos y servicios

• Para compartir su información con terceros, tales como, asesores, consultores, contrapartes, aliados, proveedores y corresponsales, cuando lo requieran en el contexto dela ejecución de una transacción o la prestación de servicios financieros, de asesoría o corresponsalía a favor de Las entidades.

• Para compartir información con autoridades extranjeras, cuando sea requerida en el contexto de investigaciones y acciones relacionadas con la prevención del blanqueo de capitales, financiamiento del terrorismo, y cualquier otra actividad ilícita, basado en una norma extranjera con aplicación extraterritorial.

• Para compartir información con aquellas personas que el cliente o su representante autorizado expresamente autorice.

El consentimiento para compartir información confidencial del cliente y sus operaciones podrá ser obtenido a través de un representante autorizado del cliente. Así mismo, el consentimiento para compartir información confidencial de los relacionados del cliente es obtenido a través del cliente o su representante autorizado; quien reconoce tener la autoridad suficiente para autorizar la divulgación de información confidencial, según lo previsto en esta Política, y en los contratos y formatos de Las entidades.

En ausencia de dicho consentimiento, se podrá divulgar a terceros información del cliente y sus relacionados, en las siguientes circunstancias, de acuerdo con las normas en materia de privacidady confidencialidad de la información:

• Cuando la información fuese requerida por autoridad competente de conformidad con la ley.

• Cuando deba proporcionarla en cumplimiento de normas que le sean aplicables, incluyendonormas prudenciales o financieras, normas en materia de prevención de los delitos de blanqueo de capitales, financiamiento del terrorismo y delitos relacionados; o en materia de cumplimiento y cooperación tributaria.

• A agencias calificadoras para fines de análisis de riesgo, sin perjuicio del traslado del deberde confidencialidad.

• A agencias u oficinas procesadoras de datos para fines contables y operativos, lo cual incluyela casa matriz de Las entidades, subsidiarias, filiales, y en general a entidades de Efinti, así como a proveedores no vinculados, en caso de tercerizaciones de actividades o procesos, sin perjuicio de traslado del deber de confidencialidad.

 

Actualización y Conservación

La información del cliente y sus relacionados que mantienen Las entidades, debe ser veraz y actualizada, en cumplimiento de las normas y políticas aplicables en materia de conocimiento del cliente. En consecuencia, se requiere que el cliente entregue información veraz y verificable, así como la actualización de la información del cliente y sus relacionados, cuando se produzcan cambiosrelevantes, o cuando Las entidades así lo requieran, en cumplimiento de las normas y políticas aplicables en materia de conocimiento del cliente.

Por regla general, se mantiene registros de información de los clientes y de sus operaciones por unplazo de al menos cinco (5) años, contados a partir de la terminación de la relación comercial. No obstante, se puede conservar su información y de sus relacionados por plazos superiores a este, encumplimiento de reglas específicas o políticas internas.

Seguridad

Para la protección de su información confidencial, se mantienen políticas internas en materia de seguridad, diseñadas para asegurar su confidencialidad, integridad, resiliencia y disponibilidad.