CESCA Cooperativa de Ahorro y Crédito, identificada con el NIT 890.803.236-7 con domicilio principal en la ciudad de Manizales en la dirección Calle 28 # 19-32, reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos personales de los asociados, deudores, colaboradores, proveedores y demás partes interesadas, respecto de los cuales ejerce tratamiento de información personal, por lo que en cumplimiento de las disposiciones legales adopta la presente política de protección de datos personales, la cual se informa a los titulares de información personal:

1. ALCANCE
La presente política se aplica a todas las fuentes de información, bases de datos que contengan datos personales que sean objeto de tratamiento por parte de CESCA, y cualquier otro dato que sea susceptible de ser tratado por la Cooperativa en desarrollo de su actividad económica o con ocasión de cualquier tipo de vínculo laboral o comercial que llegue a surgir en virtud de sus actividades con terceros o las propias de su naturaleza como empresa del sector solidario.

2. APLICACIÓN Y MARCO JURÍDICO
CESCA Cooperativa de Ahorro y Crédito establece políticas para el uso, administración y demás actividades que involucren el tratamiento de datos personales, la cual refleja los principios y reglas establecidas en el Régimen General de Protección de Datos Personales con el fin de garantizar el derecho al habeas data de nuestros asociados y en general de todos los titulares de información personal.

Esta política ha sido establecida con el fin de que el tratamiento de datos personales se realice bajo la observancia y respeto de todos los derechos relacionados con la privacidad de los titulares sobre los cuales tratamos datos personales, garantías que emanan de la Leyes 1266 de 2008, 1581 de 2012 y los Decretos Reglamentarios 1377 de 2013 y 886 de 2014, hoy contenidos en los capítulos 25 y 26 del Decreto Único Reglamentario 1074 de 2015, así mismo en concordancia con el artículo 15 de la Constitución Política de Colombia la cual estableció como derecho constitucional la protección de datos personales.

En tal sentido, CESCA Cooperativa de Ahorro y Crédito puede tratar los datos personales de sus titulares siempre y cuando medie autorización de este para hacerlo, adicionalmente la Cooperativa debe velar porque existan condiciones que garanticen una adecuada entrega, almacenamiento y manejo de la información.

3. OBLIGATORIEDAD
La política de protección de datos personales es de obligatorio cumplimiento por parte de todos los funcionarios, directivos y órganos de control de CESCA Cooperativa de Ahorro y Crédito, sus
contratistas y proveedores, quienes deberán acatar y respetar lo señalado en el presente documento. Aquel que no cuente con relación laboral con la Cooperativa deberá contar con una cláusula contractual para que cuando obren en nombre de la entidad se obliguen a cumplir estas políticas y su incumplimiento originará sanciones de tipo contractual, lo anterior sin perjuicio del deber de responder patrimonialmente por los daños y perjuicios que cause a los titulares de los datos o a CESCA por el incumplimiento de estas políticas o el indebido tratamiento de datos personales.

4. DEFINICIONES
Autorización: Es el consentimiento previo, expreso e informado del titular de la información para llevar a cabo el tratamiento de datos personales.

Aviso de privacidad: Es la comunicación verbal o escrita que tiene como fin el informar al titular de los datos sobre la política de protección de datos.

Base de Datos: Conjunto organizado de datos personales objeto de tratamiento.

Dato biométrico: Son aquellos datos personales que informan sobre determinados aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que identifican a una persona. Estos se dividen en datos i) biométricos fisiológicos, son aquellos derivados de la medida de una parte de la anatomía de una persona, por ejemplo, la huella dactilar, rostro, retina; ii) biométricos del comportamiento, como son la voz, o la firma.

Datos de menores de edad (niños, niñas y adolescentes): Se entiende como la información personal de aquellos que no han cumplido los 18 años de edad, entre las edades 0 y 12 son considerados niños o niñas, mientras los que están entre 12 y 18 son tratados como adolescentes. El tratamiento de estos datos personales está prohibido, excepto cuando se trate de datos de naturaleza pública o en los casos indicados por la ley.

Dato personal o información personal: Cualquier información que, de manera individual o vinculada, permita determinar, identificar o asociarse a una o varias personas naturales determinadas o determinables.

Dato privado: Es aquel dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información personal.

Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato semiprivado: Es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas.

Dato sensible: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas, la pertenencia a sindicatos, organizaciones sociales de derechos humanos, datos relativos a la salud, a la vida sexual, datos biométricos. Adicionalmente, se consideran datos sensibles entre otros, los datos recolectados y tratados a través de las pruebas psicotécnicas, visitas domiciliarias, estudios de seguridad, que tienen como finalidad determinar el nivel ajuste entre el perfil y competencias del candidato a una vacante; las imágenes y grabaciones obtenidas por diferentes medios, que tienen como finalidad brindar seguridad de las personas, los bienes e instalaciones, y el monitoreo propio de las actividades financieras, las cuales pueden ser empleadas como prueba en cualquier tipo de proceso ante cualquier entidad.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

Habeas data: Derecho de cualquier persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en la base de datos y en archivos de entidades públicas y privadas.

Ley de protección de datos: Es la Ley Estatutaria 1581 de 2012 por la cual se dictan disposiciones generales para la protección de datos personales y sus decretos reglamentarios, o las normas que los modifiquen, complementen o sustituyan.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o tratamiento del dato personal.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Transferencia de datos: Tienen lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor,
que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión de datos: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, con el fin de que un encargado realice
determinado tratamiento, por cuenta y según las indicaciones del responsable.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

5. PRINCIPIOS RECTORES PARA EL TRATAMIENTO DE DATOS PERSONALES POR PARTE DE CESCA
CESCA Cooperativa de Ahorro y Crédito realiza el tratamiento de datos personales bajo la observancia de las normas generales y especiales sobre la materia y aplica los siguientes principios en la recolección, uso, tratamiento, almacenamiento o intercambio de datos personales.

Principio de legalidad: Al tratamiento de la información contenida en las bases de datos custodiadas por CESCA, le será aplicable en lo pertinente, lo establecido en la Ley 1581 de 2012 y demás disposiciones que la desarrollen, modifiquen y/o complementen.

Principio de finalidad: El tratamiento de datos personales a los que tenga acceso CESCA obedecen a una finalidad legitima de acuerdo con la Constitución y la Ley, la cual será informada al titular.

Principio de libertad: El tratamiento de datos personales a los que tenga acceso CESCA solo puede llevarse a cabo con el consentimiento previo, expreso e informado del titular.

Principio de veracidad o calidad: La información sujeta a tratamiento de datos personales por parte de CESCA debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. No serán objeto de tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia: CESCA garantiza el derecho del titular de los datos personales a obtener en cualquier momento y sin restricciones, información acerca de la existencia de cualquier
información o dato que le concierne.

Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no estarán disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.

Principio de seguridad: La información sujeta a tratamiento de datos personales a que se refiere la ley 1581 de 2012, será objeto de protección mediante la aplicación de medidas tecnológicas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, modificación, consulta, y en general cualquier uso o acceso no autorizado.

Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales, que no tengan la naturaleza de publica, se comprometen a garantizar la reserva de la información. Las personas que trabajan actualmente o sean vinculadas a futuro para tal efecto, en la administración y manejo de bases de datos, deberán suscribir un documento adicional u otro sí al contrato laboral o de prestación de servicios para efectos de asegurar tal compromiso. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.

6. FINALIDADES DEL TRATAMIENTO DE LOS DATOS PERSONALES
Toda actividad de tratamiento de datos personales debe obedecer a las finalidades mencionadas en la autorización conferida por el titular del dato, o en los documentos específicos donde se regule cada tipo o proceso de tratamiento de datos personales. La finalidad particular del tratamiento se informará al titular al obtener su autorización.

A continuación, y de manera general se enumeran, sin limitar, las principales finalidades del tratamiento de datos personales por parte de CESCA como responsable de tratamiento de datos para que, trate la información personal, financiera, crediticia, comercial, sensible, privada, semiprivada, profesional, laboral, contenida en medios físicos, electrónicos o digitales:

6.1.Información de asociados y/o deudores
a) Tramitar la vinculación del titular a CESCA en calidad de asociado (apoderado o representante legal), y transferir o transmitir los datos a un tercero o entidades debidamente autorizadas conforme a la ley, la información registrada en el formulario de vinculación o actualización de datos.
b) Comunicar, publicar u ofrecer servicios, productos y beneficios derivados del objeto social de CESCA, recibir información acerca de campañas comerciales actuales y futuras, promoción de productos y servicios tanto propios como de terceros según convenios comerciales establecidos para beneficio de los asociados, recibir información necesaria para tener conocimiento del asociado, encuestas de satisfacción, muestreos e investigaciones comerciales y de servicio, de riesgos y de mercado, permitiendo que la información del titular se pueda o no anonimizar y cuyos resultados podrán ser utilizados por CESCA para los fines previstos en este numeral.
c) Tratar cualquier información personal, financiera, crediticia, comercial, sensible, privada y semiprivada del titular en una o varias bases de datos, hacer perfilamientos o segmentaciones, a partir de la utilización de productos o servicios, incluyendo la georreferenciación con el fin de profundizar y optimizar el portafolio de productos y servicios ofrecidos y tomados por el titular de los datos con CESCA.
d) Realizar el análisis de riesgo integral del titular, incluyendo el complimiento de la norma de SARLAFT, sobre “conocimiento del asociado”, prevención de fraudes, prevención de lavado de activos y la financiación del terrorismo, así como la realización de informes de seguridad sobre operaciones validando soportes físicos, electrónicos, fílmicos con el fin de general controles internos.
e) Realizar gestiones de cobranza, bien sea directamente por CESCA o a través de un tercero contratado para tal fin, quienes actuarán como encargados, así como la localización e investigación de bienes del titular.
f) Transmitir, transferir, procesar o enviar a proveedores de CESCA que presten servicios logísticos, de seguros, administrativos, tecnológicos, de distribución, de marketing, quienes actuaran como encargados del tratamiento de datos personales.
g) Conocer el estado de las operaciones (activas, pasivas o de cualquier naturaleza) o las que en el futuro llegue a celebrar el cliente con entidades financieras o comerciales, con cualquier agente o sujeto del mercado financiero, operador de información, administrador de bases de datos o cualquier otra entidad similar que en un futuro se establezca y que tenga por objeto cualquiera de las anteriores actividades.
h) Realizar todas las gestiones necesarias tendientes a confirmar y actualizar la información del cliente.
i) Consultar multas y sanciones ante las diferentes autoridades administrativas y judiciales o bases de datos públicas que tengan como función la administración de datos de esta naturaleza.
j) Realizar, validar, autorizar o verificar transacciones, incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como la huella digital, imagen o voz, entre otros.
k) Conocer la ubicación y datos de contacto del titular para efectos de notificaciones con fines de seguridad, cobranza y ofrecimiento de beneficios y ofertas comerciales.
l) Realizar todos los procesos necesarios para dar cumplimiento a las obligaciones legales y aquellas inherentes a las relaciones de índole precontractual, contractual y pos contractual de conformidad con las normas que regulan la materia.

Para el cumplimiento de las finalidades anteriores, el titular o su representante legal, autoriza que se le contacte por cualquier medio o canal establecido por CESCA, incluyendo la autorización de correos electrónicos, servicios de mensajes simples (SMS) o de mensajería multimedia (MMS) vía dispositivos móviles, aplicaciones (APP’s) de mensajera telefónica móvil, redes sociales y otros medios electrónicos equivalentes que garanticen el contacto privado con el titular.

6.2.Información de proveedores
La información solicitada al proveedor podrá incluir información de la persona natural o jurídica según corresponda. Así mismo, es posible que se solicite información de los empleados del proveedor o aliado que se encuentren dedicados a cumplir alguna función o relación con CESCA, que por la labor desempeñada requieran acceso a las instalaciones, a los aplicativos y/o sistemas u otros de la organización.

a) Realizar el proceso de vinculación del proveedor con la organización
b) Verificar antecedentes comerciales, reputacionales y los riesgos de lavado de activos y financiación del terrorismo, así como para detectar y/o prevenir actividades ilegales por parte del proveedor o sus empleados.
c) Revisar y evaluar los resultados del proveedor, así mismo gestionar y fortalecer las relaciones contractuales con el proveedor.
d) Ofrecer y prestar productos o servicios a través de cualquier medio o canal de acuerdo con el perfil del proveedor.
e) Efectuar análisis e investigaciones comerciales, estadísticas, de riesgos, de mercado y/o financieros.

6.3.Aspirantes, colaboradores y exfuncionarios
El tratamiento de la información recopilada por CESCA de aspirantes a cargos dentro de la organización es tratada con la finalidad de realizar el proceso de selección de ingreso, así mismo la tramitología relacionada con la vinculación laboral de los candidatos elegidos.
El tratamiento de la información personal de los empleados tiene como finalidad la gestión de las relaciones laborales existentes con éstos, así como el desarrollo de las diferentes actividades establecidas por la cooperativa. Entre las cuales están:

• Dar cumplimiento a las obligaciones, derechos y beneficios laborales derivadas entre el empleador y trabajador, y a las actividades propias del objeto social de la entidad, las cuales pueden ser realizadas directamente o con el apoyo de terceros con los que se compartirá su información para los fines relacionados con el objeto del contrato.
• Compartir sus datos personales con las autoridades judiciales o administrativas, por razones legales y/o tributarias.
• Consulta de sus datos en las listas de control, en cumplimiento de las políticas definidas en el SARLAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo), así como el cumplimiento con estándares de ética establecidos en CESCA.

CESCA almacenará la información de los exfuncionarios, después de finalizado el contrato de trabajo, para cumplir con las obligaciones que puedan derivarse en virtud de la relación laboral que existió conforme a la legislación colombiana, además para proporcionar certificaciones laborales solicitadas por estos o por terceros para un futuro proceso de selección.

7. CATEGORIAS ESPECIALES
7.1.Para el caso de datos personales sensibles El tratamiento de datos personales sensibles por parte de CESCA será en debido cumplimiento a lo establecido en la Ley 1581 de 2012, sus decretos reglamentarios y demás normas que regulen en dicha materia.
De conformidad con lo establecido en el artículo 6 de la Ley 1581 de 2012 y normas reglamentarias, sólo procederá la autorización para tratamiento de datos sensibles cuando se cumpla con los siguientes requisitos: 1) que haya autorización explícita del titular de los datos sensibles; 2) que el titular conozca que no está obligado a autorizar el tratamiento de dicha información; 3) que se informe al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.

De igual forma, se podrá hacer uso y tratamiento de ellos cuando: 1) el tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado.

En estos eventos, los representantes legales deberán otorgar su autorización; 2) el tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular; 3) el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial y cuando 4) el tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad del titular.

7.2.Para el caso de datos personales de niños, niñas y adolescentes
El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, o cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos: 1) Que respondan y respeten el interés superior de los niños, niñas y adolescentes; 2) Que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes podrá otorgar la autorización para el tratamiento de datos personales, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

En este orden de ideas, el tratamiento de datos de niños, niñas y adolescentes, por la condición y naturaleza de los mismos, debe hacerse con estricto cuidado, pues no todo evento faculta para recopilar y tratar datos personales de estas personas, sobre todo cuando la finalidad es para adelantar campañas publicitarias o comerciales, dado que estas no responden a proteger un derecho o interés superior, situación que podría estar conduciendo a una indebido tratamiento de datos personales, a pesar de contar con la autorización del representante legal.

8. AUTORIZACION DEL TITULAR
Para efectuar el tratamiento de datos personales, se requiere la autorización previa, expresa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta o posterior, por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Si el titular es menor de edad, dicha autorización deberá darla su representante legal.
En virtud de su naturaleza y objeto social, CESCA recibe, recolecta, registra, conserva, almacena, modifica, reporta, consulta, entrega, transmite, transfiere, comparte y elimina información personal, para lo cual obtiene la previa autorización del titular.

8.1.Modo de obtener la autorización
Con el fin de garantizar los derechos del titular de información personal, CESCA en su condición de responsable del tratamiento de datos personales ha dispuesto los canales y mecanismos necesarios para obtener la respectiva autorización, garantizando en todo caso, que sea posible verificar el otorgamiento de la misma. Se entenderá que la autorización cumple con los requisitos de ley para que esta sea obtenida: i) por escrito; ii) de forma oral o; iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Dicha conducta debe ser inequívoca de manera que no admita duda sobre la voluntad de autorizar el tratamiento. En ningún caso el silencio del titular podrá asimilarse a una conducta inequívoca. Se tendrá como conductas inequívocas el envío de datos personales adjuntos a los correos electrónicos corporativos de CESCA o el ingreso o cargue de los mismos a través de las plataformas o aplicativos establecidos para tal efecto.

La autorización puede constar en un documento físico, electrónico, mensaje de datos, internet, sitios web, en cualquier otro formato que permita garantizar su posterior consulta o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento vía clic o doble clic, mediante el cual se pueda concluir de manera inequívoca, que, de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos.

8.2.Prueba de la autorización
CESCA utilizará los mecanismos con que cuenta actualmente, e implementará y adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales para el tratamiento de los mismos.
Para dar cumplimiento a lo anterior, se podrán establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.

8.3.Casos en los cuales no es necesaria la autorización
La autorización del titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial
b) Cuando se trate de datos de naturaleza pública
c) Casos de urgencia médica o sanitaria
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos,
e) Datos relacionados con el Registro Civil de las Personas.

8.4.Efectos de la autorización
Para todos los efectos, se entiende que la autorización por parte del titular a favor de CESCA para el suministro y/o tratamiento de sus datos personales, realizada a través de sus sitios web o por medio de cualquier canal adicional, físico o electrónico, o por escrito o mediante conductas inequívocas, es:
a) Expresa, salvo cuando se trate de realización de conductas inequívocas. En todo caso, ésta implica el entendimiento y la aceptación plena de todo el contenido de la presente política.
b) Voluntaria, y el titular y/o sus representantes, según sea el caso, le concede(n) a CESCA su autorización para que utilice dicha Información Personal conforme a las estipulaciones de la presente Política.

El titular declara haber recibido explicación o haber consultado la presente Política, obligándose a leerla, conocerla y consultarla en desarrollo del derecho que le asiste como titular de datos personales, sin perjuicio de haber recibido de parte CESCA una clara, cierta y adecuada ilustración respecto de la misma, la cual además se ha puesto a su disposición en la página web de la Cooperativa. En consecuencia, el titular manifiesta que acepta en su integridad la presente política, y autoriza a CESCA para que obtenga y le de tratamiento a sus datos personales, de acuerdo con los siguientes parámetros de uso:

a) Si el titular no se encuentra de acuerdo con la presente Política, no podrá suministrar información alguna que deba registrarse en una de las bases de datos de CESCA. Por lo tanto, dicho titular, deberá abstenerse de hacer uso de cualquiera de los servicios que ofrece la cooperativa a sus asociados, incluyendo y sin limitarse, servicios ofrecidos en las oficinas y/o página web de CESCA participación de campañas publicitarias o comerciales presenciales, entre otras, y procederá a comunicarle a CESCA en la forma prevista en la presente Política, su manifestación c) CESCA mantiene parámetros de seguridad y buen uso de los datos personales apropiados y acordes con la normativa que le rige, en consecuencia, les dará a los mismos los usos adecuados para mantener la confidencialidad requerida de acuerdo con lo establecido en esta Política y en la legislación vigente.
d) Los datos personales tratados podrán ser transferidos o transmitidos a entidades autorizadas por el titular y a terceros autorizados por la ley, para llevar a cabo los usos y finalidades autorizadas por el titular conforme al objeto social de CESCA, o para ofrecer sus productos y/o servicios que puedan complementar o enriquecer la oferta de dichos productos y servicios o cuando exista autorización legal para suministrar datos personales a un tercero. En todos los eventos, dicha información se conservará bajo estricta confidencialidad y será sometida a un tratamiento riguroso, respetando los derechos y las garantías del titular, de conformidad con lo previsto en la ley.
e) CESCA podrá utilizar proveedores de servicios y/o procesadores de datos que trabajen en nombre de la Cooperativa, incluyendo y sin limitarse, contratistas, delegados, outsourcing, tercerización o aliados, con el objeto de desarrollar servicios de alojamiento de sistemas, de mantenimiento, servicios de análisis, servicios de mensajería por email, servicios de entrega, gestión de transacciones de pago, procesos de digitalización, gestión de archivo, actividades para llevar a cabo el proceso de selección y contratación de personal, entre otros. En consecuencia, el titular entiende y acepta que al conceder autorización para el tratamiento a CESCA concede a estos terceros, autorización para acceder y tratar su información personal, en la medida en que así lo requieran para la prestación de sus servicios. Sin perjuicio de lo anterior, se precisa que tanto los proveedores de CESCA como entidades autorizadas protegen en todos los eventos, la confidencialidad de la información personal a su cargo.
f) CESCA podrá recolectar información que se encuentre en el dominio público y que sea catalogada como dato público para crear o complementar sus bases de datos. A dicha información se le dará el mismo tratamiento señalado en la presente Política, con las salvedades contenidas en la ley.

9. DEBERES DE CESCA COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
Cuando CESCA actúe como responsable del tratamiento de datos sea por sí mismo o en asocio con otros, cumplirá con los siguientes deberes:
a) Garantizar a los titulares, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Solicitar y conservar, copia de la respectiva autorización otorgada por el titular
c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información.
g) Rectificar la información cuando sea incorrecta
h) Tramitar las consultas y reclamos formulados por los titulares en los términos señalados en la ley
i) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares
k) Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012.

CESCA tendrá presente en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso la normatividad vigente sobre protección de datos personales.

10. DURACIÓN DEL TRATAMIENTO DE DATOS
Los datos personales estarán sujetos a tratamiento por CESCA durante el término contractual en el que el titular de la información tenga el producto, servicio, contrato o relación, más el término que establezca la ley.

11. SUMINISTRO DE DATOS PERSONALES A TERCEROS
CESCA podrá compartir con terceros sus datos en los casos en que sea necesario para el cumplimiento del objeto contratado y bajo las finalidades previstas en el aviso de privacidad y autorizadas por los titulares de la información, entre otros, en los siguientes casos:

a) Proveedores de servicios:
• Casas de cobranza, asesores o abogados externos.
• Centrales de información.
• Telecomunicaciones.
• Proveedores de mensajería.
• Comunicaciones masivas.
• Centros de procesamiento de información.
• Compañías de seguros.
• Análisis de datos.
• Labores de mercadeo e investigaciones comerciales y de servicio, de riesgo y de mercado.
• Uso de red.
• Evaluadores.
• Recreación, cultura y turismo.
• Médicos e instituciones prestadoras de servicios de salud.
• Otros relacionados con el objeto social

b) Aliados Comerciales:
• Telefonía.
• Instituciones educativas
• Establecimientos de comercio como concesionarios, restaurantes, grandes superficies

CESCA garantiza que para compartir los datos personales con terceros (encargados del tratamiento), se toman las medidas se seguridad para evitar el mal uso de la información, se suscriben los contratos de transmisión de información personal en los casos que se requiere y en todos los contratos de servicios se incluye una cláusula de protección de datos personales.
En el evento que un Titular decida conocer información específica de alguna de las entidades a las que CESCA pudiera Transferir o Transmitir su información, puede solicitar dicha información mediante los canales dispuestos en esta política para el ejercicio de sus derechos.
La información que puede ser compartida con terceros será aquella que el asociado proporcione a través de formularios y demás puntos de contacto con CESCA.

12. GARANTIAS DEL DERECHO DE ACCESO
CESCA garantizará el derecho de acceso cuando, previa acreditación de la identidad del titular, legitimidad, o personalidad de su representante, poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales a través de todo tipo de medio, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos. Dicho acceso deberá ofrecerse sin límite alguno y le deben permitir al titular la posibilidad de conocerlos y actualizarlos en línea.

13. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
a) Conocer, actualizar y rectificar sus datos personales
b) Solicitar prueba de la autorización otorgada a CESCA, salvo que la ley indique que dicha autorización no es necesaria.
c) Ser informado por CESCA del tratamiento, previa solicitud, respecto del uso que se da a sus datos personales.
d) Presentar solicitudes y reclamos relacionados con la regulación vigente en materia de Protección de Datos Personales.
e) Revocar la autorización y/o solicitar la supresión de los datos personales de las bases de datos de CESCA, en cualquier momento, o cuando la Superintendencia de Industria y Comercio haya determinado mediante acto administrativo definitivo que el CESCA ha incurrido en conductas contrarias a la ley.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

13.1. Legitimación para el ejercicio de los derechos del titular
Los derechos de los titulares de información personal podrán ser ejercidos por las siguientes personas:
a) Por el respectivo titular. Para esto, deberá acreditar su identidad de forma suficiente.
b) Por sus causahabientes, debidamente acreditados.
c) Por el representante y/o apoderado del titular, debidamente acreditada su calidad.
d) En los casos de menores de edad, el ejercicio de los derechos únicamente podrá ser ejercido por las personas debidamente facultadas por la ley.

13.2. Procedimiento para atender las consultas, reclamos y rectificaciones
Toda solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por CESCA señalados en el presente documento, y contener, como mínimo, la siguiente información: 1) El nombre, domicilio del titular y medio de contacto para recibir la respuesta como teléfono, correo electrónico, dirección de residencia; 2) Los documentos que acrediten la identidad
o la representación de su representante; 3) La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos; 4) En caso dado otros elementos o documentos que faciliten la localización de los datos personales.

13.2.1. Consulta
El titular o sus intermediarios debidamente autorizados podrán consultar la información personal que repose en las bases de datos de CESCA, previa validación de su identidad según los procedimientos de la Cooperativa. En consecuencia, CESCA garantizará el derecho de consulta, suministrando a los titulares, toda la información contenida en el registro individual o que esté vinculada con la identificación del titular. Con respecto a la atención de solicitudes de consulta de datos personales CESCA garantiza:
a) Habilitar medios de comunicación electrónica u otros que considere pertinentes. Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad.
b) Utilizar los servicios de atención al cliente o de reclamaciones que tiene en operación. En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.
c) Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

13.2.2. Reclamos
El titular o sus intermediarios debidamente autorizados, que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581, podrán presentar un reclamo, canalizándola y remitiéndola a través de la dependencia designada que ejercerá la función de protección de datos personales al interior de CESCA.

13.2.3. Proceso para la atención del reclamo
a) Presentar solicitud escrita frente al requerimiento específico, dirigida a CESCA, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección física y electrónica, teléfono, aportando los documentos que quiera hacer valer por medio de los canales establecidos.
b) Si el reclamo resulta incompleto, CESCA requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que complete y subsane su petición.
c) Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que desistió del reclamo.
d) Si quien recibe el reclamo no es competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de tal situación al interesado.
e) El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibido. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo. En todo caso, el término de respuesta no podrá superar de ocho (8) días hábiles siguientes al vencimiento del primer término. La respuesta al reclamo que el titular presente podrá ser efectuada por cualquier medio físico o electrónico.

13.2.4. Rectificación y actualización de datos
CESCA tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. Al respecto se tendrá en cuenta lo siguiente:

En las solicitudes de rectificación y actualización de datos personales el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición. CESCA tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes. CESCA podrá establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el Aviso de Privacidad y que se pondrán a disposición de los interesados en la página web.

14. SUPRESIÓN DE DATOS
El titular en todo momento, podrá solicitar a CESCA la supresión (eliminación) de sus datos personales cuando:
a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente.
b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
c) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados.
d) Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por CESCA.

Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio del mismo cuando:
• El titular tenga un deber legal o contractual de permanecer en la base de datos.
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.

15. LIMITACIONES TEMPORALES AL TRATAMIENTO DE LOS DATOS PERSONALES
CESCA solo recolectará, almacenará, usará o circulará los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y, sin perjuicio de normas legales que dispongan lo contrario, procederá a la supresión de los datos personales en su posesión cuando así corresponda conforme a los procedimientos establecidos por CESCA para ello. No obstante, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual. El Titular podrá, en cualquier momento, revocar el consentimiento que haya otorgado para el tratamiento de sus datos personales, salvo que legal o contractualmente CESCA deba tratar dicha información, mediante el envío de una comunicación y/o solicitud escrita a través los canales de contacto contemplados en la presente Política, aportando copia de su documento de identificación o cualquier otro documento que, a juicio de CESCA permita acreditar su identidad.

16. REVOCATORIA DE LA AUTORIZACIÓN
Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello, CESCA cuenta con mecanismos sencillos y gratuitos que permiten al titular revocar su consentimiento, al menos por el mismo medio por el que lo otorgó.

Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse. La primera, puede ser sobre la totalidad de las finalidades consentidas, esto es, que CESCA deba dejar de tratar por completo los datos del titular; la segunda, puede ocurrir sobre tipos de tratamiento determinados, como por ejemplo para fines publicitarios o de estudios de mercado.

Con la segunda modalidad, esto es, la revocación parcial del consentimiento, se mantienen a salvo otros fines del tratamiento que el responsable, de conformidad con la autorización otorgada puede llevar a cabo y con los que el titular está de acuerdo.

17. CANALES DE COMUNICACION
Para el ejercicio del derecho del titular a conocer, actualizar, rectificar, suprimir datos y revocar la autorización conforme lo dispone Ley 1581 de 2012 y demás normas concordantes, este podrá dirigir sus consultas, peticiones, quejas o reclamos a través de los siguientes canales:

De manera presencial, dirigiéndose directamente a las oficinas de la Cooperativa. Por medio del correo electrónico: protecciondatospersonales@cesca.coop , o a través de nuestra línea de atención 018000916812.

18. SEGURIDAD DE LA INFORMACIÓN
En desarrollo del principio de seguridad establecido en la normatividad vigente, CESCA informa que toda información personal que repose en sus bases de datos, no será usada o tratada de manera distinta a los parámetros dados en la presente Política; razón por la cual se procurará proteger la privacidad de la información personal y conservarla bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como el respeto de los derechos del titular, según lo estipulado en la ley.

CESCA se encuentra eximido de responsabilidad frente a las obligaciones adquiridas a través de la presente Política, cuando por cualquier circunstancia una autoridad competente solicite que sea revelada la información personal que custodie, para actuaciones judiciales o administrativas vinculadas a cualquier tipo de obligación, proceso, investigación, persecución, o actualización de datos acción de interés público, o entrega de reportes tributarios, entre otros.

19. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES E INFORMACIÓN PERSONAL
Dependiendo de la naturaleza de las relaciones permanentes u ocasionales que cualquier persona titular de datos personales pueda tener con CESCA la totalidad de su información puede ser transferida al exterior, sujeto a los requerimientos legales aplicables. Con la aceptación de la presente política, autoriza expresamente para transferir información personal.

Sin perjuicio de la obligación de observar y mantener la confidencialidad de la información, CESCA tomará las medidas necesarias para que esos terceros conozcan y se comprometan a observar esta Política, bajo el entendido de que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente relacionados con la relación propia con CESCA, y solamente mientras ésta dure, y no podrá ser usada o destinada para propósito o fin diferente.

CESCA, también puede intercambiar información personal con autoridades gubernamentales o públicas de otro tipo (incluidas, entre otras, autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria y fiscal), y terceros participantes en procedimientos legales civiles y sus contadores, auditores, abogados y otros asesores y representantes, porque es necesario o apropiado:
a) Para cumplir con las leyes vigentes, incluidas las leyes distintas a las de su país de residencia.
b) Para cumplir con procesos jurídicos.
c) Para responder las solicitudes de las autoridades públicas y del gobierno y para responder las solicitudes de las autoridades públicas y del gobierno distinto a las de su país de residencia.
d) Para hacer cumplir nuestros términos y condiciones.
e) Para proteger nuestros derechos, privacidad, seguridad o propiedad, los suyos o los de terceros.
f) Obtener los recobros o aplicables o limitar los daños y perjuicios que nos puedan afectar.

20. OFICIAL DE PROTECCIÓN DE DATOS
CESCA ha dispuesto en su interior, áreas y perfiles de cargo, encargados de asumir la función de Oficial de Protección de Datos Personales. Estos, serán los encargados tanto de la atención de las peticiones, consultas y reclamos que pueda realizar el titular del dato personal, como consecuencia de su ejercicio de derechos; entendidos estos como los de: conocer, actualizar, rectificar, suprimir el dato y revocar la autorización; como de velar por la implementación efectiva de las políticas y procedimientos adoptados por CESCA para cumplir las normas, así como la implementación de buenas prácticas de gestión de datos personales dentro de cada empresa.

Para todo efecto, el Oficial de Protección de Datos Personales recibirá, procesará y canalizará las distintas solicitudes que se reciban, y las hará llegar a las respectivas dependencias, las cuales, una vez reciban estas comunicaciones, entrarán a cumplir con la función de protección de datos personales y deberán dar trámite a las solicitudes de los titulares, en los términos, plazos y condiciones establecidos por la normatividad vigente, para el ejercicio de los derechos del titular.

21. REGISTRO NACIONAL DE BASE DE DATOS
El Registro Nacional de Base de Datos – RNBD – es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual es administrado por la Superintendencia de Industria y Comercio y es de libre consulta para los ciudadanos.

De acuerdo con el artículo 25 de la Ley 1581 de 2012 y sus decretos reglamentarios, para el registro de bases de datos, las empresas interesadas deberán aportar a la Superintendencia de Industria y Comercio la política de tratamiento de datos personales, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes.

Así mismo, mediante el capítulo 26 del Decreto Único 1074 de 2015, reglamentó la información mínima que debe contener el RNBD y los términos y condiciones bajo los cuales se deben inscribir en éste las bases de datos sujetas a la aplicación de la Ley 1581 de 2012.

Por su parte, mediante Decreto 090 del 18 de enero de 2018, el Gobierno Nacional modificó el ámbito de aplicación del Registro Nacional de Bases de Datos y creo nuevos plazos para que los sujetos que resulten obligados realicen la inscripción de sus bases de datos.

22. VIGENCIA DE LA POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
La presente política empezara a regir a partir del 25 de septiembre de 2023. Se encontrará a disposición de los titulares por medio de la página web: www.cesca.coop Cualquier cambio sustancial en las políticas será comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través del sitio web: www.cesca.coop y/o correo electrónico enviado a los titulares.

Para los titulares que no tengan acceso a medios electrónicos o aquellos a los que no sea posible contactar, se comunicará adicional al sitio web, a través de avisos en las diferentes oficinas de
CESCA.

Las modificaciones sustanciales de la presente política se comunicarán con mínimo diez (10) días antes de implementarlas.

Las presentes políticas son aprobadas por el consejo de administración y representante legal de CESCA Cooperativa de Ahorro y Crédito el día 25 de septiembre de 2023.

OCTAVIO DE JESUS MONTES ARCILA
Gerente
Original Firmado