Política de Tratamiento de Datos Personales PrizmaPay
Responsables:
Razón social: Compostela Asociados S.A.S.
NIT: 901.289.233-9
Domicilio: Calle 15 35 01 - Oficina 402, Medellín, Antioquia.
Correo electrónico: [email protected]
Compostela Asociados S.A.S., denominada en adelante como “PrizmaPay” o la “Sociedad Responsable”, en virtud de lo establecido en la Ley 1581 de 2012, su Decreto Reglamentario 1377 de 2013, la Ley 1266 de 2008, las demás normas que los modifiquen o adicionen y considerando sus actividades comerciales, las cuales consisten principalmente en la puesta a disposición y funcionamiento de una herramienta tecnológica de servicios financieros o “Banking as a Service” (Banca como Servicio), ha implementado la presente Política de Tratamiento de Datos Personales, la cual está compuesta por:
1. Definiciones
Obrando de conformidad con la transparencia y el debido tratamiento a los datos personales, optando siempre por el cumplimiento de las normas, con el fin de brindar un mayor entendimiento al contenido de la presente, se han extractado de la ley 1581 de 2012 y de la Ley 1266 de 2008, las siguientes definiciones:
1.1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
1.2. Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
1.3. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; sin perjuicio de lo anterior, PrizmaPay tratará los datos de las personas jurídicas bajo los mismos lineamientos y políticas de seguridad con que trata los Datos Personales.
1.4. Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados Datos Públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los Datos Públicos pueden estar contenidos, entre otros,
en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
1.5. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere la Ley 1266 de 2008 sobre esta materia.
1.6. Información financiera, crediticia, comercial, de servicios: Es aquella referida al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen.
1.7. Datos Sensibles: Se entiende por Datos Sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y biométricos.
1.8. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de Datos Personales por cuenta del responsable del tratamiento.
1.9. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el tratamiento de los Datos Personales.
1.10. Titular: Persona natural cuyos Datos Personales sean objeto de tratamiento.
1.11. Fuente de información: Es la persona, entidad u organización que recibe o conoce datos personales de los Titulares de la información, en virtud de una relación comercial o de servicio o de cualquier otra índole y que, en razón de autorización legal o del Titular, suministra esos datos a un Operador de información, el que a su vez los entregará al Usuario final. Si la Fuente entrega la información directamente a los Usuarios y no, a través de un Operador, aquella tendrá la doble condición de Fuente y Operador y asumirá los deberes y responsabilidades de ambos. La Fuente de la información responde por la calidad de los datos suministrados al Operador la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para garantizar la protección de los derechos del titular de los datos;
1.12. Operador de información: Es la persona, entidad u organización que recibe de la Fuente datos personales sobre varios Titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la presente ley. Por tanto, el Operador, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del Titular de los datos. Salvo que el Operador sea la misma Fuente de la información, este no tiene relación comercial o
de servicio con el Titular y por ende no es responsable por la calidad de los datos que le sean suministrados por la Fuente;
1.13. Usuario: Es la persona natural o jurídica que puede acceder a información personal de uno o varios Titulares de la información suministrada por el Operador o por la Fuente, o directamente por el Titular de la información. El Usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del Titular de los datos. En el caso en que el usuario a su vez entregue la información directamente a un operador, aquella tendrá la doble condición de Usuario y Fuente, y asumirá los deberes y responsabilidades de ambos;
1.14. Transferencia: La Transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
1.15. Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
1.16. Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
1.17. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable del Tratamiento, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los Datos Personales.
2. Derechos del Titular de la Información
El Titular de los Datos Personales tendrá los siguientes derechos:
2.1. Derecho a conocer: El Titular podrá en cualquier tiempo, de forma gratuita, por escrito o por cualquier canal de comunicación dispuesto por la PrizmaPay, solicitar información acerca de cuáles de sus datos personales reposan dentro de las Bases de Datos de la Sociedad Responsable y cuál es el uso que se le da a la misma, además conocer cuáles de los datos aportados, han sido objeto de Transferencia.
2.2. Derecho a actualizar: El Titular podrá en cualquier tiempo y de forma gratuita, solicitar a PrizmaPay, que se actualicen sus Datos Personales, para lo cual deberá proporcionar en forma veraz, oportuna y completa la información que desea se incluya en la Base de Datos y/o archivo de la Sociedad Responsable, lo cual comprende la entrega de la documentación soporte que se requiera para tal efecto.
2.3. Derecho a rectificar: Si el Titular considera que los datos que tiene PrizmaPay, dentro de su Base de Datos, son inexactos o incompletos podrá solicitarle en
cualquier momento y en forma gratuita, que se corrija tal información, para lo cual deberá acudir de forma personal, identificándose en debida forma, a través de los canales habilitados por la Sociedad Responsable, explicando en qué consiste la inexactitud o inconsistencia y suministrar en forma correcta y completa la información que desea se incorpore en la Base de Datos, lo cual comprende la entrega de la documentación soporte que se requiera para tal efecto.
2.4. Derecho a suprimir: El Titular podrá solicitar a PrizmaPay que elimine los datos que a bien considere necesario, para lo cual deberá identificarse en debida forma y señalar cuál es la información a eliminar, acompañando dicha solicitud de la documentación soporte que se requiera para tal efecto. La solicitud de supresión de la información no procederá cuando el Titular tenga un deber legal o contractual de permanecer en la Base de Datos.
2.5. Derecho a revocar su autorización: El Titular estará en la capacidad de revocar la autorización otorgada a PrizmaPay para el Tratamiento de sus Datos Personales, siempre y cuando no tenga un deber legal o contractual en virtud del cual deba mantener vigente dicha autorización.
2.6. Derecho a solicitar prueba de la autorización: El Titular podrá solicitar a PrizmaPay acreditar la existencia de la Autorización impartida en los casos en que por ley la misma era necesaria para el Tratamiento de sus datos.
2.7. Derecho a presentar quejas ante la Superintendencia de Industria y Comercio y la Superintendencia Financiera: El Titular estará facultado a presentar quejas y reclamos ante la Superintendencia de Industria y Comercio o la Superintendencia Financiera, según sea el caso, si considera que se ha presentado alguna infracción a las normas que regulan la protección de sus Datos Personales, el Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio o la Superintendencia Financiera, según sea el caso, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
3. Finalidad del Tratamiento de los Datos Personales
PrizmaPay recolecta, almacena, usa, procesa, suprime y circula Datos Personales entre los cuales se encuentran, pero sin limitarse a, nombres, apellidos, teléfonos, domicilios, direcciones de contacto, correos electrónicos, documentos de identidad, con ocasión del desarrollo de su objeto social.
En virtud de lo anterior, los Datos Personales son tratados, de forma general, para las siguientes finalidades:
▪ Contactar a los Titulares en virtud de la relación comercial, civil o laboral existente.
▪ Identificar y mantener un registro y control de los proveedores, clientes, potenciales clientes, accionistas, acreedores, empleados y exempleados de PrizmaPay.
▪ Proveer los servicios requeridos por sus clientes y acceder los servicios ofertados
por sus proveedores.
▪ Enviar comunicaciones referentes a la relación comercial, civil o laboral existente.
▪ Enviar mensajes con fines comerciales, publicitarios, educativos y/o de atención a los Titulares, ya sea de PrizmaPay o terceros.
▪ Informar sobre nuevos servicios y/o sobre cambios en los mismos, así como evaluar la calidad del servicio suministrado por PrizmaPay y por sus proveedores.
▪ Cumplir con la normativa vigente en materia laboral y de seguridad social, civil, comercial, administrativa, penal y demás existente, especialmente aquella relacionada con el archivo y custodia de la información.
▪ Gestionar toda la información necesaria para la realización de trámites internos como auditorías y para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables de PrizmaPay.
▪ La identificación de fraudes y prevención de lavado de activos, financiación del terrorismo y otras actividades delictivas.
▪ Evaluar, tramitar y contestar las solicitudes, peticiones, reclamaciones y quejas de los Titulares.
▪ Evaluar el cumplimiento de las obligaciones derivadas de las relaciones comerciales, civiles o laborales existentes con los Titulares o exigir el cumplimiento de las mismas.
▪ Efectuar, actualizar y consultar reportes ante las distintas autoridades administrativas de control y vigilancia, entidades de reporte de comportamiento comercial y financiero y autoridades de policía o autoridades judiciales.
▪ Consultar, solicitar o verificar la información y Datos Personales del Titular en las bases de datos de entidades públicas o privadas, o que conozcan personas naturales o jurídicas, o se encuentren en buscadores públicos, redes sociales o publicaciones físicas o electrónicas, bien fuere en Colombia o en el exterior. Estas acciones se podrán ejercer especialmente ante Centrales de Riesgo Crediticio y Financiero privadas o públicas que cuenten con la información financiera, crediticia, comercial y/o de servicios del Titular.
▪ Analizar o calcular el riesgo crediticio, récord (scorings-score), o cualquier tipo de medición de estudios financieros o crediticios del Titular del dato. Como elemento de análisis para establecer y mantener una relación contractual, cualquiera que sea su naturaleza, así como para la evaluación de los riesgos derivados de una relación contractual vigente.
▪ Realizar análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas.
▪ Transmitir y/o transferir los Datos Personales del Titular, en Colombia y al exterior, a terceros, según sea requerido para efectos del cumplimiento de las obligaciones derivadas las relaciones comerciales, civiles o laborales existentes con los Titulares y los terceros relacionados con la prestación de los servicios ofrecidos por esta.
▪ Registrar, actualizar, modificar, corregir o eliminar los Datos Personales en los sistemas de información de la Sociedad Responsable y en sus Bases de Datos comerciales y operativas.
▪ Cualquier otra actividad de naturaleza similar a las anteriormente descritas que sean necesarias para desarrollar el objeto social de PrizmaPay.
▪ Para cualquier otra finalidad, diferente de las anteriores, respecto de la cual y en forma general o para cada caso particular se haya obtenido autorización por parte del Titular de la información.
Adicional a las finalidades generales, la base de datos de los empleados de PrizmaPay se tratará con las siguientes finalidades:
▪ Dar cumplimiento y exigirlo al contrato laboral y reglamento interno de trabajo, así como a las demás políticas implementadas por PrizmaPay frente a sus empleados, y a las obligaciones que de estos se desprenden.
▪ Para la constatación del cumplimiento de las obligaciones, la incursión en las prohibiciones, faltas graves y/o justas causas a través de los procedimientos laborales establecidos por PrizmaPay, especialmente a través de procedimientos disciplinarios y de auditoría; para lo anterior, PrizmaPay podrá auditar los equipos electrónicos (computadores, tabletas, celulares empresariales, entre otros) y softwares (correos electrónicos, chats, programas, archivos corporativos, entre otros) previstos por ésta para la prestación de los servicios de sus empleados. También, PrizmaPay podrá instalar sistemas de video vigilancia, de grabación de sonido, podrá recolectar, usar y almacenar datos biométricos (entre ellos, sin limitarse, a aquellos recolectados a través de lectores de huella dactilar y lectores faciales).
▪ Para la afiliación, pago de cotizaciones, y el cumplimiento en general de las obligaciones deberes, así como la exigencia de derechos, de los que PrizmaPay o el trabajador son titulares, frente al Sistema de Protección Social.
▪ Para dar cumplimiento, implementación y evaluación del Sistema de Gestión en Salud y Seguridad en el Trabajo.
▪ Para adelantar los procedimientos de transcripción, radicación y cobro de subsidios por incapacidad temporal frente a las entidades del Sistema de Seguridad Social.
▪ Para la ejecución directa o solicitud de ejecución a un tercero de pruebas que evidencien la presencia de alcohol o de sustancias psicoactivas o psicotrópicas en el organismo del trabajador.
▪ Para el trámite préstamos, embargos, retenciones y/o compensaciones de salarios, prestaciones sociales y demás derechos laborales generados en virtud de la relación de trabajo.
▪ Para efectos de capacitación, recreación, asistencia a eventos culturales, deportivos o académicos, dirigidos directamente por PrizmaPay o por cualquier tercero.
▪ Para el cumplimiento de la normativa laboral vigente y aplicable a PrizmaPay y a sus trabajadores, incluyendo disposiciones constitucionales, legales, reglamentarias, contractuales, así como de políticas y directrices internas de PrizmaPay.
Por su parte, además de las finalidades generales, los Datos Personales de los Titulares que aspiren a vincularse bajo cualquier modalidad permitida por la normativa colombiana con PrizmaPay, serán usados con las siguientes finalidades:
▪ Para adelantar procesos de selección, los cuales podrán incluir entrevistas, sometimiento a pruebas de conocimiento y a pruebas sicotécnicas, práctica de visitas domiciliarias, así como el acceso a hojas de vida y las comunicaciones con el candidato por cualquier vía.
▪ Para contratar personal bajo cualquier modalidad permitida por la normativa colombiana.
▪ Para consultar y verificar referencias personales o familiares, así como los antecedentes laborales y de empleo del candidato, incluyendo la constatación de idoneidad y veracidad de los mismos.
▪ Para hacer consultas de antecedentes penales, judiciales, disciplinarios, comerciales y financieros en listas públicas o privadas.
▪ Para practicar exámenes médicos de ingreso.
▪ Para consultar referencias e historial académico, así como constatar la idoneidad y veracidad de los documentos académicos allegados por el candidato.
Teniendo en cuenta que PrizmaPay podrá contar con aliados y proveedores para el cumplimiento de su objeto social, para la prestación de sus servicios y para la ejecución de los contratos laborales, comerciales o civiles que celebre con los Titulares, PrizmaPay será la Responsable del Tratamiento, Fuente y/u Operador y/o Usuario y sus aliados y proveedores serán los Encargados del Tratamiento y/u Operadores y/o Usuarios en los casos en que sea procedente; en esta medida PrizmaPay asegura que los Encargados, Operadores y/o Usuarios del Tratamiento darán estricto cumplimiento a lo establecido en la presente Política.
En el evento en que la prestación de sus servicios y/o la ejecución de los demás contratos laborales, comerciales o civiles que celebre con los Titulares implique la Transferencia o Transmisión de los Datos Personales a aliados o proveedores nacionales o extranjeros, PrizmaPay se compromete a que estos se adhieran a lo establecido por la Ley 1581 de 2012, el Decreto 1377 de 2013, la Ley 1266 de 2008 y demás normas que modifiquen, adicionen y complementen, y concretamente den estricto cumplimiento a lo establecido en la presente Política.
PrizmaPay cualquiera que sea la calidad en que actúe, esto es, como Responsable, Fuente, Operador, Usuario o Encargado de la información, o los Encargado, Operadores y/o Usuarios que para el desarrollo del objeto del contrato hagan tratamiento de ella, cuando consulten el estado de un Titular en las bases de datos de información financiera, crediticia, comercial y de servicios, entregará información exacta, es decir, dar un reporte positivo o negativo de los Titulares que en el momento de la consulta están al día en sus obligaciones o se encuentren en mora en una cuota u obligaciones.
Finalmente, concluido el servicio ofrecido por PrizmaPay o finalizado el contrato entre la Sociedad Responsable y los Titulares, los Datos Personales podrán mantenidos en el registro de la Base de Datos de la Sociedad Responsable hasta tanto no se reciba revocatoria de la autorización del Titular. Los datos serán eliminados de las Bases de Datos de la Sociedad Responsable o archivados en condiciones seguras cuando así lo requiera la normativa colombiana.
4. Tratamiento De Datos Sensibles
PrizmaPay restringirá estrictamente el tratamiento de Datos Personales Sensibles a los indispensables para realizar su objeto social o para cumplir con requerimientos normativos o contractuales, e informará a los Titulares de forma explícita y previa cuales son los Datos Sensibles y la finalidad de su Tratamiento.
PrizmaPay solo dará tratamiento a Datos Sensibles sin el consentimiento previo cuando se trate de emergencia vital que requiera de una acción inmediata para evitar un daño grave o irreversible. Por otro lado, de acuerdo con el artículo 6 de la Ley 1581 de 2012, PrizmaPay podrá darle Tratamiento a Datos Sensibles para "una finalidad histórica, estadística o científica", siempre y cuando adopte "las medidas conducentes a la supresión de identidad de los Titulares".
5. Procedimientos de Acceso, Consulta y Reclamación sobre Datos Personales
PrizmaPay garantiza que los Titulares de los Datos Personales a los que se les da Tratamiento, tendrán acceso a éstos y serán informados sobre todas las modificaciones, actualizaciones o supresiones que de ellos se haga, siempre y cuando soliciten dicha información y estén debidamente identificados.
PrizmaPay pone a disposición de los Titulares el siguiente correo: [email protected] al cual podrá escribir el Titular o los legitimados según la Ley 1581 de 2012 y la Ley 1266 de 2008, para tener acceso a su información personal, para acreditar el Tratamiento que se les está dando a sus Datos Personales, para presentar reclamos o solicitar su actualización, rectificación o supresión, para solicitar la prueba de la Autorización por éste dada en su oportunidad y para ejercer los demás derechos mencionados anteriormente.
Cuando se trate de consultas, PrizmaPay tendrá un plazo de 10 días hábiles para dar respuesta, contados a partir de la fecha de recibo de las mismas. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los 5 días hábiles siguientes al vencimiento del primer término.
Cuando se trate de reclamos, los mismos se formularán incluyendo la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al
interesado dentro de los 5 días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos 2 meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. El reclamo podrá realizarse cuando la información contenida en su registro individual en un banco de datos deba ser objeto de corrección o actualización
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a 2 días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de 15 días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los 8 días hábiles siguientes al vencimiento del primer término. Si en ese lapso no se ha dado pronta resolución, se entenderá, para todos los efectos legales, que la respectiva solicitud ha sido aceptada. Si no lo hiciere, el peticionario podrá solicitar a la Superintendencia de Industria y Comercio y a la Superintendencia Financiera, según el caso, la imposición de sanciones a que haya lugar conforme a la Ley 1581 de 2012, el Decreto reglamentario 1377 de 2013, la Ley 1266 de 2008 y las demás normas que los adicionen.
Para atender el reclamo, solicitud o consulta, es necesario que el Titular o los legitimados según la Ley 1581 de 2012, el Decreto reglamentario 1377 de 2013, la Ley 1266 de 2008 y las demás normas que los adicionen, alleguen la siguiente información:
▪ Nombre completo.
▪ Número de identificación.
▪ Dirección de notificación o de respuesta.
▪ Teléfono de contacto.
▪ Cuando el solicitante no sea el Titular, debe allegar la información que de acuerdo con la Ley 1581 de 2012 lo legitima para hacer la solicitud, consulta o reclamo en nombre del Titular.
En el caso que el Titular de la información manifieste ser víctima del delito de falsedad personal contemplado en el Código Penal, y le sea exigido el pago de obligaciones como resultado de la conducta punible de la que es víctima, podrá presentar petición de corrección a PrizmaPay adjuntando los soportes correspondientes a la suplantación. Dentro de los diez (10) días siguientes PrizmaPay deberá cotejar las informaciones tratadas con los documentos allegados por el Titular en la petición, los cuales se tendrán como prueba para probar la falsedad en un eventual proceso judicial. Con la solicitud presentada por el Titular, el dato negativo, récord (scorings-score) y cualquier otro dato que refleje el comportamiento del Titular, deberán ser modificados por PrizmaPay reflejando que la víctima de falsedad no es quien adquirió las obligaciones, incluyendo una leyenda dentro del registro personal que diga “Víctima de Falsedad Personal”.
6. Mecanismos de Seguridad
Obrando en concordancia con el principio de seguridad desarrollado por la ley 1581 de 2012, su Decreto reglamentario 1377 de 2013, la Ley 1266 de 2008 y las demás normas que los adicionen, PrizmaPay dispondrá de todos los medios técnicos, humanos y/o administrativos necesarios, con el fin de evitar la pérdida, acceso, uso, consulta, alteración por terceras personas no autorizadas, de la información suministrada por el Titular.
7. Vigencia
La presente Política de Datos Personales entra en vigencia a partir del 31 de julio del 2023 y la misma puede ser modificada por PrizmaPay en cualquier tiempo. Cualquier modificación de la presente Política, será informada a través de la página web www.prizmapay.com, donde se pondrá a disposición de los Titulares, la última versión de la misma, indicando la fecha de entrada en vigencia de la correspondiente modificación.
Sin perjuicio de lo anterior, cualquier modificación que se realice a la presente Política en relación con la identificación del Responsable del Tratamiento de los Datos Personales y las finalidades perseguidas con el mismo, serán comunicadas a los Titulares directamente antes de su entrada en vigor, sin perjuicio de la solicitud de una nueva Autorización cuando los cambios se refieran a las finalidades mencionadas en el momento de la obtención de la Autorización inicial.
Las Bases de Datos tendrán Tratamiento durante el tiempo que sea razonable y necesario para la finalidad para la cual fueron obtenidos los datos. El dato negativo y los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera y, en general, aquellos datos referentes a una situación de incumplimiento de obligaciones se regirán por un término máximo de permanencia en los bancos de datos del doble del tiempo de la mora, máximo cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea extinguida la obligación, vencido el cual deberá ser retirada. Sin embargo, una vez cumplida la finalidad, los Datos Personales sólo serán usados para efectos de mantenerlos en el registro de la Base de Datos de la Sociedad Responsable y para enviar mensajes con fines comerciales y/o publicitarios si así lo autoriza el Titular, de lo contrario, serán eliminados de las Bases de Datos de la Sociedad Responsable o archivados en condiciones seguras cuando así lo requiera la normativa colombiana. El dato negativo y los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera y, en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, obligaciones caducarán una vez cumplido el término de ocho (8) años, contados a partir del momento en que entre en mora la obligación; cumplido este término deberán ser eliminados de la base de datos.