Manual Base Datos Banco Falabella
Manual Base Datos Banco Falabella
Manual Base Datos Banco Falabella
DATOS PERSONALES.
Código: 4G15-M001
MANUAL DE POLÍTICAS DE TRATAMIENTO DE LOS
DATOS PERSONALES Fecha Emisión:
30/08/2013
Responsabilidad por Aplicación:
Edición 1.0
Todas las gerencias
DOCUMENTO DE USO INTERNO.
1. INFORMACIÓN GENERAL
BANCO FALABELLA S.A. (EN ADELANTE BANCO FALABELLA) con NIT900.047.981-8 y domicilio
en Bogotá, es un establecimiento de crédito comprometido con la protección de los Datos
Personales a los que tiene acceso en el desarrollo de sus actividades. BANCO FALABELLA dentro
del desarrollo de su objeto social, recibe, transmite y trata Datos Personales al interior y
externamente para las actividades misionales y de apoyo que desarrolla de acuerdo con sus
estatutos, su objeto social y la ley.
2. OBJETIVO
En este documento, BANCO FALABELLA presenta las Políticas para garantizar el adecuado
cumplimiento de la ley de protección de datos personales aplicable, y para la atención de consultas
y reclamos de los titulares de los Datos Personales sobre los que BANCO FALABELLA realiza
Tratamiento.
3. ALCANCE
4. DEFINICIONES
Las expresiones utilizadas en mayúsculas en este documento tienen el significado que aquí se les
otorga, o el significado que la ley o la jurisprudencia aplicable les den, según dicha ley o
jurisprudencia sea modificada con el tiempo. Se entiende que las definiciones expresadas en la
forma plural se entienden también de acuerdo al significado que se indique para la palabra en
singular.
4.1 Autorización: Es el consentimiento previo, expreso e informado del Titular para llevar a cabo
el Tratamiento de sus Datos Personales.
4.2 Base de Datos: Es el conjunto organizado de Datos Personales que sean objeto de
Tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación,
almacenamiento, organización y acceso.
4.3 Dato Antiguo: Son los Datos Personales que fueron recolectados antes del 27 de junio de
2013.
4.4 Dato Financiero: Es todo Dato Personal referido al nacimiento, ejecución y extinción de
obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen,
cuyo Tratamiento se rige por la Ley 1266 de 2008 o las normas que la complementen,
modifiquen o adicionen.
4.5 Dato Personal: Es cualquier información de cualquier tipo, vinculada o que pueda asociarse a
una o varias personas naturales determinadas o determinables.
4.6 Dato Público: Es el Dato Personal calificado como tal, según los mandatos de la ley o de la
Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre
otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de
comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su
naturaleza, los Datos Públicos pueden estar contenidos, entre otros, en registros públicos,
documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente
ejecutoriadas que no estén sometidas a reserva.
4.7 Dato Semiprivado: Es el Dato Personal que no tiene naturaleza íntima, reservada, ni pública
y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o
grupo de personas o a la sociedad en general.
4.8 Dato Sensible: Es el Dato Personal que afecta la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como aquellos que revelen afiliaciones sindicales, el
origen racial o étnico, la orientación política, las convicciones religiosas, morales o filosóficas,
así como los datos relativos a la salud, a la vida sexual y los datos biométricos que revelan
origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales,
afiliación sindical e información referente a la salud o a la vida sexual.
4.9 Encargado del Tratamiento: Es la persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del
Responsable del Tratamiento.
4.10 Autorizado: Es BANCO FALABELLA y todas las personas bajo la responsabilidad de BANCO
FALABELLA, que por virtud de la Autorización y de las Políticas tienen legitimidad para
someter a Tratamiento los Datos Personales del Titular.
4.11 Ley: Es la ley 1266 de 2008, la Ley 1581 de 2012, la jurisprudencia de la Corte Constitucional
sobre Datos Personales que sienta precedentes, y la regulación expedida por el gobierno
reglamentando los preceptos legales, que se encuentren vigentes al momento en que se dé
inicio al Tratamiento del Dato Personal por parte de BANCO FALABELLA, según dicha Ley sea
modificada de tiempo en tiempo y dicha modificación aplique al Tratamiento realizado por
BANCO FALABELLA sobre el Dato Personal.
4.12 Responsable: Es toda persona destinataria del presente documento y sujeta al cumplimiento
del mismo, por realizar actividades de Tratamiento de Datos Personales dentro, en nombre de,
en representación de, o para, BANCO FALABELLA, incluyendo pero sin limitarse a, todo aquel
que sea empleado, director, representante, contratista, agente, diputado, delegado,
embajador, accionista, socio, consultor externo, proveedor y cliente de BANCO FALABELLA.
4.13 Responsable de Tratamiento: Es la persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los Datos
Personales.
4.14 Titular del Dato Personal: Es la persona natural a quien se refiere la información que reposa
en una Base de Datos.
4.15 Transmisión: Es la actividad de Tratamiento de Datos Personales mediante la cual se
comunican los mismos, internamente o con terceras personas, dentro o fuera del territorio de
5.1 Autorización previa: Todo Tratamiento de Datos Personales requiere la Autorización previa,
expresa e informada del Titular, salvo que la Ley establezca una excepción a esta regla.
5.2 Finalidad autorizada: Toda actividad de Tratamiento de Datos Personales debe obedecer a
las finalidades mencionadas en este documento o en la Autorización otorgada por el Titular del
Dato, o en los documentos específicos donde se regule cada tipo o proceso de Tratamiento de
Datos Personales. La finalidad particular del Tratamiento de un Dato Personal debe ser
informada al Titular del Dato Personal al obtener su Autorización. De manera general, las
principales finalidades del Tratamiento de Datos Personales por parte de BANCO FALABELLA,
son pero no se limitan a:
a) Realizar todos los procesos necesarios para dar cumplimiento a las obligaciones legales y
regulatorias en relación con los empleados de BANCO FALABELLA.
b) Gestionar toda la información necesaria para el cumplimiento de las obligaciones
tributarias y de registros comerciales, corporativos y contables de BANCO FALABELLA.
c) Cumplir los procesos internos de BANCO FALABELLA en materia de administración de
proveedores y contratistas.
d) Prestar sus servicios de acuerdo con las necesidades particulares de los clientes de
BANCO FALABELLA, y con las actividades realizadas por BANCO FALABELLA conforme a
su naturaleza jurídica de establecimiento de crédito, con el fin de cumplir los contratos
celebrados, incluyendo pero sin limitarse a la realización de operaciones activas, pasivas y
neutras autorizadas a los Bancos, en los términos previstos por el Estatuto Orgánico del
Sistema Financiero, y demás normas concordantes que le sean aplicables. Como
consecuencia de ello, BANCO FALABELLA tiene de manera particular como finalidades
para el Tratamiento de los Datos Personales, entre otras, las siguientes:
5.3 Calidad del Dato: El Dato Personal sometido a Tratamiento debe ser veraz, completo, exacto,
actualizado, comprobable y comprensible. Cuando se obtengan Datos Personales parciales,
incompletos, fraccionados o que induzcan a error, BANCO FALABELLA debe abstenerse de
someterlo a Tratamiento, o solicitar a su Titular la completitud o corrección de la información.
5.4 Entrega de información al Titular: Cuando el Titular lo solicite, BANCO FALABELLA debe
entregarle información sobre la existencia de Datos Personales que le conciernan al
solicitante, la finalidad para la cual se recolectan así como el Tratamiento al cual son
sometidos los Datos Personales.
5.5 Circulación restringida: Los Datos Personales solo pueden ser Tratados por aquel personal
de BANCO FALABELLA que cuente con autorización para ello, o quienes dentro de sus
funciones tengan a cargo la realización de tales actividades. No se deben entregar Datos
Personales a quienes no cuenten con Autorización o no hayan sido Habilitados por BANCO
FALABELLA para Tratarlos.
5.6 Acceso restringido: BANCO FALABELLA no debe hacer disponibles Datos Personales para
su acceso a través de Internet u otros medios masivos de comunicación, a menos que se
establezcan medidas técnicas que permitan controlar el acceso solo a las personas
Autorizadas.
5.7 Confidencialidad: BANCO FALABELLA debe siempre realizar el Tratamiento disponiendo las
medidas técnicas, humanas y administrativas que resulten necesarias para mantener la
confidencialidad del Dato Personal y para evitar que éste sea adulterado, modificado,
consultado, usado, accedido, eliminado, o conocido por personas no Autorizadas o por
personas Autorizadas y no Autorizadas de manera fraudulenta, o que el Dato Personal se
pierda. Todo nuevo proyecto que implique el Tratamiento de Datos Personales debe ser
consultado con la Subgerencia de Servicio al Cliente de BANCO FALABELLA para asegurar el
cumplimiento del presente documento y de las medidas necesarias para mantener la
confidencialidad del Dato Personal.
5.8 Confidencialidad y Tratamiento posterior: Todo Dato Personal que no sea Dato Público
debe tratarse por los Responsables como confidencial, aun cuando la relación contractual o el
vínculo entre el Titular del Dato Personal y BANCO FALABELLA haya terminado. A la
terminación de dicho vínculo, tales Datos Personales deben continuar siendo Tratados de
conformidad con este documento y de acuerdo con lo dispuesto por la Ley.
5.9 Necesidad: Los Datos Personales solo pueden ser Tratados durante el tiempo y en la medida
que la finalidad de su Tratamiento lo justifique.
De acuerdo con la Ley, los Titulares de Datos Personales tienen los siguientes derechos:
6.1 Conocer, actualizar y rectificar sus Datos Personales frente a BANCO FALABELLA o los
Encargados del Tratamiento de los mismos. Este derecho se podrá ejercer, entre otros frente a
Datos Personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o
aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
6.2 Solicitar prueba de la Autorización otorgada a BANCO FALABELLA, salvo que la Ley indique
que dicha Autorización no es necesaria.
6.3 Presentar solicitudes ante BANCO FALABELLA o el Encargado del Tratamiento respecto del
uso que se le ha dado a sus Datos Personales, y a que éstas le entreguen tal información.
6.4 Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley
1581 de 2012, reglamentada parcialmente mediante el Decreto 1377 de 2013, y demás normas
concordantes.
6.5 Revocar su Autorización y/o solicitar la supresión de sus Datos Personales de las Bases de
Datos de BANCO FALABELLA, en cualquier momento. cuando la Superintendencia de Industria
y Comercio haya determinado mediante acto administrativo definitivo que en el Tratamiento
BANCO FALABELLA o el Encargado del Tratamiento ha incurrido en conductas contrarias a la
Ley. De conformidad con el Decreto 1377 de 2013, la solicitud de supresión de los datos
personales y la revocatoria de la autorización para el tratamiento de los mismos no procederán
cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
6.6 Solicitar acceso y acceder en forma gratuita a sus Datos Personales que hayan sido objeto de
Tratamiento.
Los Titulares pueden ejercer sus derechos de Ley y realizar los procedimientos establecidos en
este documento, mediante la presentación de su cédula de ciudadanía o documento de
identificación original, estos derechos deben ser informados al Titular de los Datos Personales toda
vez que su Autorización sea solicitada para el Tratamiento de los mismos, de acuerdo con la Ley.
Para que BANCO FALABELLA pueda recolectar Datos Personales, el Responsable debe obtener la
Autorización previa y expresa del Titular mediante un documento de Autorización que cumpla las
siguientes condiciones:
a) El documento de autorización puede tomar la forma de cláusula en los contratos que celebre
BANCO FALABELLA; puede además ser físico (carta, formulario) o electrónico (mensaje de
datos), siempre que el método o mecanismo permita que la Autorización del Titular se guarde
para ser consultada posteriormente y que sea presentable como evidencia.
Si los Datos Personales que serán objeto de Tratamiento son Datos Sensibles o no.
La finalidad que tendrá el Tratamiento de tales Datos Personales. La finalidad siempre
debe estar en línea con la realización del objeto social de BANCO FALABELLA, y debe
enmarcarse dentro de la Ley.
Los tipos de Tratamiento a que serán sometidos los Datos Personales.
Si los Datos Personales serán transferidos a terceros.
Si los Datos Personales serán transferidos al exterior.
Los derechos que tiene por Ley el Titular del Dato Personal que otorga Autorización (ver
numeral 6).
c) El documento de autorización contempla el siguiente texto: “El Titular de los Datos Personales
declara y acepta que ha leído este documento y que ha sido plenamente informado sobre las
finalidades y Tratamiento al que serán sometidos sus Datos Personales, así como de sus
derechos de Ley, y que con su firma, otorgada de manera libre otorga las autorizaciones aquí
mencionadas a BANCO FALABELLA para proceder según lo aquí expresado en relación con
sus Datos Personales”.
d) Si el documento está en medio físico, tiene un campo para que el Titular de los Datos
Personales suscriba con su firma manuscrita. En la obtención de los Datos Personales por
medios tecnológicos o electrónicos, el área de Tecnología dispone de un mecanismo para que
los Titulares dejen constancia de la Autorización.
El funcionario encargado de recolectar el Dato Personal debe asegurarse de haber obtenido firma
del documento de Autorización antes de iniciar cualquier actividad que implique la recolección de
Datos Personales.
Solamente en los casos definidos en la Ley, BANCO FALABELLA no está obligado a solicitar la
Autorización del Titular del Dato Personal para su Tratamiento. Sin embargo, salvo por la
necesidad de obtener Autorización del Titular, el Tratamiento de esos Datos Personales se rige por
la Ley y por el presente Manual. Algunos de los casos en que BANCO FALABELLA puede someter
a Tratamiento Datos Personales sin Autorización de su Titular, pueden ser los siguientes:
Cuando el Dato Personal sea solicitado a BANCO FALABELLA por una entidad pública o
administrativa en ejercicio de sus funciones legales o por orden judicial.
Cuando el Dato Personal requerido sea un Dato Público.
Cuando el Tratamiento del Dato Personal responda a una urgencia médica o sanitaria.
Cuando el Dato Personal vaya a ser usado por BANCO FALABELLA para fines históricos,
estadísticos o científicos, siempre y cuando en estos tres eventos BANCO FALABELLA
recolecte tal información y desde el comienzo del Tratamiento y por todo el tiempo que dure el
Tratamiento, suprima y mantenga suprimida la identidad del Titular del Dato Personal. Esto se
logra mediante procesos de anonimización de la información que deben ser consultados con la
Subgerencia de Continuidad del Negocio y Seguridad de la Información, y validados por el área
Jurídica.
Cuando el Dato Personal esté relacionado con el Registro Civil de los Titulares.
Siempre que el Responsable considere que el Tratamiento de Datos Personales que va a realizar
está cubierto por alguna de estas excepciones, debe confirmar primero con el área Jurídica y
obtener la autorización expresa de dicha área para proceder con el Tratamiento de Datos
Personales. Es obligación del Responsable asegurarse de la calificación que tiene el Dato
Personal que va a recolectar, para asegurarse de solicitar la Autorización cuando esta sea
necesaria.
Aun cuando el Tratamiento no requiera, por Ley, la Autorización previa, expresa e informada del
Titular del Dato Personal, toda otra actividad de Tratamiento que se realice sobre ese Dato
Personal debe hacerse en cumplimiento de este Manual y la Ley.
8.2 OBTENCIÓN
Una vez obtenida la Autorización del Titular, el Responsable del proceso de obtención procede a
solicitar los Datos Personales necesarios.
Todas las relaciones con terceras personas que involucre Datos Personales y Tratamiento debe
ser verificada por el área jurídica para garantizar que los documentos utilizados cuenten con las
cláusulas necesarias para realizar una circulación y transferencia seguro de Datos Personales.
8.3 TRATAMIENTO
El Tratamiento de Datos Personales que realice BANCO FALABELLA se rige por los principios y
reglas establecidos en el numeral 5, y por las siguientes reglas adicionales:
a) Todo Dato Financiero negativo debe ser sometido a Tratamiento durante el término que las
causas de dicha calificación negativa se mantenga, debiendo permitir al Titular del Dato
Financiero actualizarlo para modificar la situación.
b) En el Tratamiento de Datos Personales de carácter médico y otra información de carácter
Sensible, BANCO FALABELLA y los Responsables deben ejercer un nivel mayor de diligencia y
8.4 CIRCULACIÓN
BANCO FALABELLA, para llevar a cabo la circulación de Datos Personales, establece una serie de
mecanismos para garantizar que el proceso se sujete a la Ley y al presente Manual:
a) BANCO FALABELLA establece medidas para que el Titular del Dato otorgue su Autorización
previa y expresa para que BANCO FALABELLA transmita a terceros la información.
b) Los Responsables deben asegurarse que BANCO FALABELLA cuenta con Autorización del
Titular del Dato para transferirlo a terceros. Es indispensable verificar que se cuenta con la
Autorización para transferir Datos Personales a terceros; en el evento de no contar con dicha
Autorización es obligación del Responsable informar a BANCO FALABELLA para que obtenga
la Autorización respectiva.
c) Cuando BANCO FALABELLA requiera transferir Datos Personales a otros países y no cuente
con la Autorización del Titular, verifica, con el acompañamiento del área Jurídica, que el país
cumpla con niveles de protección adecuados, así como los procedimientos necesarios para
cumplir con la Ley y la eventual reglamentación en la transferencia de los Datos al exterior.
d) BANCO FALABELLA implementa en todo contrato con clientes de BANCO FALABELLA que
transfieran Bases de Datos con Datos Personales a BANCO FALABELLA, cláusulas en que el
Responsable de esos Datos Personales declare y garantice (i) que el Tratamiento y finalidad
del Tratamiento que BANCO FALABELLA se encuentran Autorizados por los Titulares de los
Datos Personales, y (ii) que el Responsable cuenta con la Autorización de los Titulares de esos
Datos para transferirlos a BANCO FALABELLA, así como cualquier otra instrucción originada o
bien en la Autorización dada por el Titular del Dato o por el Responsable, y toda otra obligación
de origen legal o reglamentario que determinen las autoridades competentes.
e) Los terceros y clientes a quienes se transmitan Datos Personales deben sujetarse, mediante la
inclusión de cláusulas contractuales especiales, al cumplimiento de este Manual y la Ley en
relación con los Datos Personales que BANCO FALABELLA transmita o transfiera, en lo
pertinente, particular pero no exclusivamente la obligación de confidencialidad, circulación y
acceso restringido, y la garantía de los derechos de los Titulares de los Datos.
f) BANCO FALABELLA al establecer relaciones con terceros que impliquen Datos Personales,
previa iniciación de las relaciones, debe asegurarse de consultar con el área jurídica para que
ésta, adapte todos los documentos de la operación para agregar las cláusulas de protección de
Datos Personales que sean necesarias para obtener un esquema de protección suficiente por
parte de BANCO FALABELLA.
9.1 CONSULTAS
BANCO FALABELLA dispone de mecanismos para que el Titular formule CONSULTAS respecto de
cuáles son los Datos Personales del Titular que reposan en las Bases de Datos de BANCO
FALABELLA. Estos mecanismos pueden ser físicos como trámite en oficinas o electrónicos como
correo electrónico. Cualquiera que sea el medio, BANCO FALABELLA debe guardar prueba de la
consulta y su respuesta.
b) Si el solicitante tuviere capacidad para formular la consulta, el Responsable debe recopilar toda
la información sobre el Titular que esté contenida en el registro individual de esa persona o que
esté vinculada con la identificación del Titular dentro de las Bases de Datos de BANCO
FALABELLA.
d) En caso de que la solicitud no pueda ser atendida en los diez (10) días hábiles siguientes a la
consulta, debe contactar al solicitante para comunicarle los motivos por los cuales el estado de
su solicitud se encuentra en trámite.
e) La respuesta definitiva a todas las solicitudes no puede tardar más de quince (15) días hábiles
desde la fecha en la que la solicitud inicial fue recibida por BANCO FALABELLA.
9.2 RECLAMOS
BANCO FALABELLA dispone de mecanismos para que el Titular formule RECLAMOS respecto de (i)
Datos Personales Tratados por BANCO FALABELLA que deben ser objeto de corrección,
actualización o supresión, o (ii) el presunto incumplimiento de los deberes de Ley por parte de
BANCO FALABELLA. Estos mecanismos pueden ser físicos como trámite en oficinas o electrónicos
como correo electrónico. Cualquiera que sea el medio, BANCO FALABELLA debe guardar prueba
de la consulta y su respuesta.
a) El reclamo debe ser presentado por el Titular, así:
Debe dirigirse al BANCO FALABELLA S.A.
Debe contener el nombre y documento de identificación del Titular.
Debe contener una descripción de los hechos que dan lugar al reclamo y el objetivo
perseguido (actualización, corrección o supresión, o cumplimiento de deberes).
Debe indicar la dirección y datos de contacto e identificación del reclamante.
Debe acompañarse por toda la documentación que el reclamante quiera hacer valer.
b) Si el reclamo o la documentación presentada como soporte por parte del reclamante está
incompleta, BANCO FALABELLA debe requerir al reclamante por una sola vez dentro de los
cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Si el
reclamante no presenta la documentación e información requerida dentro de los dos (2) meses
siguientes a la fecha del reclamo inicial, se entiende que ha desistido del reclamo.
d) El término máximo para atender el reclamo es de quince (15) días hábiles contados a partir del
día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de
dicho término, se informará al interesado los motivos de la demora y la fecha en que se
atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes
al vencimiento del primer término.
En relación con los Datos Antiguos, esto es los Datos Personales que fueron obtenidos por BANCO
FALABELLA antes del 27 de junio de 2013, y de conformidad con el Decreto 1377 del 2013,
BANCO FALABELLA debe seguir los siguientes pasos:
Para el Tratamiento de Datos Personales de niños, niñas y adolescentes se debe dar cumplimiento
al presente Manual, a la Ley, y además debe tenerse en cuenta la opinión de los niños, niñas y
adolescentes Titulares de los Datos Personales, en consideración a la madurez, autonomía y
capacidad de cada uno de los menores. La valoración de los anteriores factores se debe hacer
caso por caso, para lo cual debe involucrarse en el proceso al área Jurídica.
El presente documento se encuentra gobernado por la Ley 1581 de 2012, el Decreto 1377 de
2013, así como por toda otra Ley, decreto, o regulación que la modifique, reglamente, o derogue.
En cualquier caso de conflicto entre este documento y la Ley, primará lo establecido en la Ley aún
si no se encuentra aquí descrito.
Elaborado por: Organización y Métodos
Código: 4G15-M001
MANUAL DE POLÍTICAS DE TRATAMIENTO DE LOS
DATOS PERSONALES Fecha Emisión:
30/08/2013
Responsabilidad por Aplicación:
Edición 1.0
Todas las gerencias
DOCUMENTO DE USO INTERNO.
13. SEGURIDAD.
14. VIGENCIA
Los Datos Personales que sean almacenados, utilizados o transmitidos deben permanecer en las
Bases de Datos de BANCO FALABELLA durante el tiempo que sea necesario para cumplir las
finalidades mencionadas en este documento, para las cuales fueron recolectados.
15. MODIFICACIONES
Este documento puede ser modificado por parte de BANCO FALABELLA. De conformidad con el
Decreto 1377 de 2013, cualquier cambio sustancial en las Políticas de Tratamiento se comunicará
oportunamente a los Titulares de los Datos Personales de una manera eficiente, antes de
implementar las nuevas políticas.
N/A