Crédito digital

Cuando en la propaganda comercial fijada en los establecimientos de comercio o canales y/o en la página web se ofrezca la venta de productos o servicios a plazo, a través de sistemas de financiación y se incluye información sobre el costo de esa venta, es recomendable indicar la tasa de interés efectiva anual que se aplica durante el respectivo mes.

Por último, debe mantener publicada en todo momento a través de su página web, independientemente del vínculo o enlace al que se acceda. En la publicidad de la información del miembro cuando desarrolle la actividad de crédito a través de medios electrónicos:

• Mantener publicada, en todo momento, a través de su página web, independientemente del vínculo o enlace al que se acceda.

• Mantener disponible la anterior información para el público en general, es decir, que el acceso y consulta de esta sea libre, sin que se establezcan ingresos a portales protegidos con medidas lógicas de control de acceso (tales como contraseñas o códigos OTP, inicios de sesión, etc.) o que para su acceso y consulta el cliente, deba realizar o adelantar trámites o solicitudes preliminares (P.ej. haber otorgado la autorización para el tratamiento de sus datos, registrarse ante los sistemas del miembro, o haber diligenciado los formularios electrónicos de solicitud de créditos, etc.).

• En la recolección y tratamiento de datos personales: Debe tenerse en cuenta que, con base en el cambio de la tendencia del mercado y como resultado de la evolución de las tecnologías de la información, en donde los datos de los clientes y de los consumidores en general adquieren una transversal relevancia para el desarrollo de las actividades económicas, se encuentra en proceso de surgimiento, una preocupación generalizada por parte de los titulares de la información y de las autoridades de protección de datos, acerca de la forma en que los responsables dan tratamiento a los datos de sus respectivos clientes, dado que, a menudo, los titulares de la información desconocen que sus datos están siendo recopilados, transmitidos, analizados y utilizados con fines específicos no autorizados o no conocidos por ellos.

En este sentido, el tratamiento y conservación inadecuada de los datos puede resultar en robo de identidad y prácticas irresponsables de préstamos, en el contexto del crédito celebrado por medios electrónicos. Por lo anterior, es recomendable que Soluciones de Crédito establezca políticas de tratamiento de datos o validar que las que hayan establecido están orientadas para:

• Asegure que las personas con la que interactúan (Clientes, proveedores y colaboradores) comprendan de forma clara, completa y oportuna los datos sobre los cuáles deben autorizar su tratamiento en favor de la empresa, así como las respectivas finalidades para las que son otorgadas tales autorizaciones de tratamiento (p.ej. evaluación de la solicitud de crédito, información estadística, gestión de cobranza, registro como proveedor, facturación, manejo de nómina, etc.); La autorización de tratamiento de datos deberá incluir las finalidades del tratamiento y la facultad en virtud de la cual se autoriza la transferencia de los datos de los clientes a terceros proveedores de servicios tecnológicos del miembro (p.ej. core bancario, CRM, contact o call center, entre otros, cuando estos sean tercerizados), así como demás terceros proveedores de servicios relacionados con la gestión de los créditos que deban acceder a los datos e información personal para el desarrollo de sus funciones (p.ej. firmas especializadas en estudio de títulos, analistas de datos, asesores externos, casas de cobranza, etc.).

• Establezca los estándares y medidas de seguridad lógica y técnica que permitan garantizar la confidencialidad, reserva y circulación restringida de los datos para asegurar que éste como el encargado del tratamiento (si lo hubiere) sean los únicos que tengan la capacidad cuenten con la capacidad técnica de acceder a los datos de los titulares de la información que fueron autorizados para consultar y procesar.

• Garantice el acceso oportuno del titular a sus datos, permitirle formular reclamaciones, peticiones, correcciones y/o actualizaciones sobre sus datos, así como la posibilidad de revocar su autorización para el tratamiento de ciertos datos y/o para una o varias de las finalidades de su tratamiento; y genere, al interior de la empresa, una cultura de transparencia y protección de los datos de los respectivos titulares (clientes, proveedores, colaboradores y administradores), que propenda por la educación proactiva de los funcionarios que procesan datos y de los titulares sobre cómo se recopila la información y cómo usarla. Por lo anterior, los empleados deben recibir educación sobre el deber de cumplir el mandamiento categórico de solo recoger o solicitar datos que sean necesarios para los respectivos procesos comerciales, contractuales, administrativos (entre otros) sin compartir esta información con terceros no autorizados por el respectivo titular de los datos.

• Observe, en los procesos de contratación de servicios para desarrollos de software, altos estándares de privacidad y ética por diseño, en los que se establezcan que las funcionalidades técnicas o funcionales de los programas de ordenador a desarrollar eviten realizar requisiciones o recolección indiscriminada de datos que reposen en los dispositivos móviles y/o equipos de cómputo de los usuarios de la aplicación tecnológica, y que tales programas de ordenador operen con los datos esenciales que establezca la empresa para el adecuado desarrollo de sus actividades económicas y respondan a los más altos estándares de seguridad, para evitar la fuga, robo o secuestro de datos (obligaciones a cargo de manera expresa en 4 told).

• Redactar las políticas de tratamiento de datos, avisos de privacidad y autorizaciones de tratamientos de datos personales en términos fácilmente comprensibles para los titulares de los datos, atendiendo al segmento de la población al que destina su producto, indicándole de forma clara completa y precisa, las finalidades para los cuales se va a realizar el tratamiento de los datos personales.

• Verifique, en el evento en que una autoridad solicite la información de un titular, que la entidad señala claramente la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que le han sido conferidas por la ley relacionada con dicha finalidad.

• Observe, en los procesos de contratación de servicios para desarrollos de software, altos estándares de privacidad y ética por diseño, en los que se establezcan que las funcionalidades técnicas o funcionales de los programas de ordenador a desarrollar eviten realizar requisiciones o recolección indiscriminada de datos que reposen en los dispositivos móviles y/o equipos de cómputo de los usuarios de la aplicación tecnológica, y que tales programas de ordenador operen con los datos esenciales que establezca la empresa para el adecuado desarrollo de sus actividades económicas y respondan a los más altos estándares de seguridad, para evitar la fuga, robo o secuestro de datos (obligaciones a cargo de manera expresa en 4told).

• Redactar las políticas de tratamiento de datos, avisos de privacidad y autorizaciones de tratamientos de datos personales en términos fácilmente comprensibles para los titulares de los datos, atendiendo al segmento de la población al que destina su producto, indicándole de forma clara completa y precisa, las finalidades para los cuales se va a realizar el tratamiento de los datos personales.

• Verifique, en el evento en que una autoridad solicite la información de un titular, que la entidad señala claramente la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que le han sido conferidas por la ley relacionadas con dicha finalidad.

• Informe, con la mayor celeridad del caso, a los operadores de las bases de datos y/o encargados del tratamiento de estos, que determinado dato o información ha sido objeto de reclamación por parte del titular cuando haya sido presentada una petición, queja o reclamación que tenga por objeto o como efecto modificar, aclarar o ajustar información que procese el miembro, por lo que deberá actualizarse dicho dato con la expresión “en trámite” o “en discusión por parte del titular” u otras equivalentes.

• Informe al operador de la información, acerca de los reportes de suplantación de identidad, de manera prioritaria. Adicionalmente, proceder a realizar el respectivo trámite de análisis de verificación de identidad para determinar si en efecto es procedente la eliminación de la información crediticia en el evento de suplantación. Al dar respuesta al titular, deberá informársele que, de ser rechazada su petición, podrá acudir a la Superintendencia de Industria y Comercio.

• Genere y remita, previo al reporte de información negativa por incumplimiento de obligaciones, la respectiva comunicación al titular de la información, con el fin de que este pueda demostrar el cumplimiento de su parte o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad.

• Permita el acceso, de forma gratuita, a los datos al respectivo titular de la información mediante una (1) consulta por mes o cuando existan modificaciones sustanciales (en las finalidades, tratamientos y/o autorizaciones) de las políticas de tratamientos de la información del Miembro que ameriten nuevas consultas. Ante cualquier reclamación, petición o consulta que realice el titular, la respuesta que emita el miembro debe ser clara y completa.

• Cumpla con los parámetros de la sección 3.1 de la Circular Única Superintendencia de Industria y Comercio, en el evento que el miembro haga una transferencia de datos a otros países.

• Redacte las autorizaciones de tratamientos de datos, de tal forma que los titulares puedan manifestar la aceptación de forma independiente, identificando sobre cada una de las finalidades del tratamiento de los datos personales.
  

• Implemente estrategias de responsabilidad demostrada frente al tratamiento de datos personales para las finalidades para los cuales fueron recolectados los datos, conforme los requerimientos y exigencias señaladas en la Ley 1266 de 2008, Ley 1581 de 2012, y el Título V de la Circular Única Jurídica de la Superintendencia de Industria y Comercio.