Digital credit

When in the commercial advertising posted in the commercial establishments or channels and/or on the website the sale of products or services is offered in installments, at through financing systems and information on the cost of that sale is included, it is advisable to indicate the effective annual interest rate that is applied during the respective month.

Finally, you must keep published at all times through your web page, regardless of the link or link that is accessed. In the publicity of the member's information when carrying out the activity of credit through electronic means:

• Keep published, at all times, through its web page, regardless of the link or link accessed. Keep the above information available to the general public, that is, that access and consultation of this is free, without establishing access to protected portals.

• With logical access control measures (such as passwords or OTP codes, logins, etc.) or that for access and consultation by the client, he must carry out or carry out preliminary procedures or requests (for example, having granted authorization for the treatment of your data, register with the member's systems, or have completed the electronic credit application forms, etc.).

• In the collection and processing of personal data: It must be taken into account that, based on the change in market trends and as a result of the evolution of information technologies, where customer and consumer data In general, they acquire transversal relevance for the development of economic activities, a widespread concern is in the process of emerging on the part of the owners of the information and the data protection authorities, about the way in which those responsible give treatment of the data of their respective clients, since, often, the owners of the information are unaware that their data is being collected, transmitted, analyzed and used for specific purposes that are not authorized or unknown to them.

In this sense, the inadequate treatment and conservation of data can result in identity theft and irresponsible lending practices, in the context of credit held by electronic means. Therefore, it is recommended that Soluciones de Crédito establish data processing policies or validate that the ones they have established are aimed at:

• Ensure that the people with whom they interact (Customers, suppliers and collaborators) understand in a clear, complete and timely manner the data on which they
  must authorize their treatment in favor of the company, as well as the respective purposes for which such data is granted. treatment authorizations (for example,
  evaluation of the credit application, statistical information, collection management, registration as a supplier, billing, payroll management, etc.); The authorization for data processing must include the purposes of the processing and the power by virtue of which the transfer of the data is authorized from clients to third-party technological service providers of the member (for example, core banking, CRM, contact or call center, among others, when these are outsourced), as well as other third-party service providers related to credit management that must access the data and personal information to carry out their duties (for example, firms specialized in title studies, data analysts, external advisors, collection agencies, etc.).

• Establish the standards and logical and technical security measures that guarantee the confidentiality, reserve and restricted circulation of the data to ensure that the latter, as well as the person in charge of the treatment (if any), are the only ones who have the technical capacity. to access the data of the holders of the information that were authorized to consult and process.

• Guarantee the owner's timely access to their data, allow them to make claims, requests, corrections and/or updates on their data, as well as the possibility of revoking their authorization for the processing of certain data and/or for one or more of the purposes of your treatment; and generate, within the company, a culture of transparency and protection of the data of the respective holders (customers, suppliers, collaborators and administrators), which promotes the proactive education of the officials who process data and the holders on how information is collected and how to use it. Therefore, employees must receive education on the duty to comply with the categorical commandment to only collect or request data that is necessary for the respective commercial, contractual, and administrative processes (among others) without sharing this information with third parties not authorized by the respective data owner.

• Observe, en los procesos de contratación de servicios para desarrollos de software, altos estándares de privacidad y ética por diseño, en los que se establezcan que las funcionalidades técnicas o funcionales de los programas de ordenador a desarrollar eviten realizar requisiciones o recolección indiscriminada de datos que reposen en los dispositivos móviles y/o equipos de cómputo de los usuarios de la aplicación tecnológica, y que tales programas de ordenador operen con los datos esenciales que establezca la empresa para el adecuado desarrollo de sus actividades económicas y respondan a los más altos estándares de seguridad, para evitar la fuga, robo o secuestro de datos (obligaciones a cargo de manera expresa en 4 told).

• Redactar las políticas de tratamiento de datos, avisos de privacidad y autorizaciones de tratamientos de datos personales en términos fácilmente comprensibles para los titulares de los datos, atendiendo al segmento de la población al que destina su producto, indicándole de forma clara completa y precisa, las finalidades para los cuales se va a realizar el tratamiento de los datos personales.

• Verifique, en el evento en que una autoridad solicite la información de un titular, que la entidad señala claramente la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que le han sido conferidas por la ley relacionada con dicha finalidad.

• Observe, en los procesos de contratación de servicios para desarrollos de software, altos estándares de privacidad y ética por diseño, en los que se establezcan que las funcionalidades técnicas o funcionales de los programas de ordenador a desarrollar eviten realizar requisiciones o recolección indiscriminada de datos que reposen en los dispositivos móviles y/o equipos de cómputo de los usuarios de la aplicación tecnológica, y que tales programas de ordenador operen con los datos esenciales que establezca la empresa para el adecuado desarrollo de sus actividades económicas y respondan a los más altos estándares de seguridad, para evitar la fuga, robo o secuestro de datos (obligaciones a cargo de manera expresa en 4told).

• Redactar las políticas de tratamiento de datos, avisos de privacidad y autorizaciones de tratamientos de datos personales en términos fácilmente comprensibles para los titulares de los datos, atendiendo al segmento de la población al que destina su producto, indicándole de forma clara completa y precisa, las finalidades para los cuales se va a realizar el tratamiento de los datos personales.

• Verifique, en el evento en que una autoridad solicite la información de un titular, que la entidad señala claramente la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que le han sido conferidas por la ley relacionadas con dicha finalidad.

• Informe, con la mayor celeridad del caso, a los operadores de las bases de datos y/o encargados del tratamiento de estos, que determinado dato o información ha sido objeto de reclamación por parte del titular cuando haya sido presentada una petición, queja o reclamación que tenga por objeto o como efecto modificar, aclarar o ajustar información que procese el miembro, por lo que deberá actualizarse dicho dato con la expresión “en trámite” o “en discusión por parte del titular” u otras equivalentes.

• Informe al operador de la información, acerca de los reportes de suplantación de identidad, de manera prioritaria. Adicionalmente, proceder a realizar el respectivo trámite de análisis de verificación de identidad para determinar si en efecto es procedente la eliminación de la información crediticia en el evento de suplantación. Al dar respuesta al titular, deberá informársele que, de ser rechazada su petición, podrá acudir a la Superintendencia de Industria y Comercio.

• Genere y remita, previo al reporte de información negativa por incumplimiento de obligaciones, la respectiva comunicación al titular de la información, con el fin de que este pueda demostrar el cumplimiento de su parte o efectuar el pago de la obligación, así como controvertir aspectos tales como el monto de la obligación o cuota y la fecha de exigibilidad.

• Permita el acceso, de forma gratuita, a los datos al respectivo titular de la información mediante una (1) consulta por mes o cuando existan modificaciones sustanciales (en las finalidades, tratamientos y/o autorizaciones) de las políticas de tratamientos de la información del Miembro que ameriten nuevas consultas. Ante cualquier reclamación, petición o consulta que realice el titular, la respuesta que emita el miembro debe ser clara y completa.

• Cumpla con los parámetros de la sección 3.1 de la Circular Única Superintendencia de Industria y Comercio, en el evento que el miembro haga una transferencia de datos a otros países.

• Redacte las autorizaciones de tratamientos de datos, de tal forma que los titulares puedan manifestar la aceptación de forma independiente, identificando sobre cada una de las finalidades del tratamiento de los datos personales.

• Implemente estrategias de responsabilidad demostrada frente al tratamiento de datos personales para las finalidades para los cuales fueron recolectados los datos, conforme los requerimientos y exigencias señaladas en la Ley 1266 de 2008, Ley 1581 de 2012, y el Título V de la Circular Única Jurídica de la Superintendencia de Industria y Comercio.