Política de Tratamiento de Datos Personales y Privacidad

1. Identificación del responsable del tratamiento

2. Alcance de la política

La presente Política aplica a todas las bases de datos, repositorios, expedientes, formularios, sistemas, plataformas, aplicativos, canales físicos y digitales, y demás medios en los cuales G7Fintech S.A.S. trate datos personales en calidad de responsable o encargado del tratamiento.

Aplica respecto de los siguientes titulares, entre otros:

• Clientes, usuarios y prospectos.
• Representantes legales, beneficiarios finales, apoderados y contactos de clientes corporativos.
• Accionistas y administradores.
• Proveedores, contratistas y aliados estratégicos.
• Empleados, aprendices, practicantes y aspirantes a vacantes.
• Visitantes a oficinas, eventos o espacios con videovigilancia.
• Titulares que interactúen con formularios web, landing pages, campañas, redes sociales, correos electrónicos, mensajería, herramientas de soporte o procesos de onboarding.

3. Marco legal aplicable

• Constitución Política de Colombia, artículo 15 (derecho a la intimidad y al habeas data).
• Ley 1581 de 2012 — régimen general de protección de datos personales.
• Ley 1266 de 2008 — habeas data financiero, cuando aplique.
• Decreto 1074 de 2015 y demás normas reglamentarias que lo modifiquen, complementen o sustituyan.
• Instrucciones y guías de la Superintendencia de Industria y Comercio (SIC).
• Normas de comercio electrónico, contratación digital, conservación documental y requerimientos regulatorios aplicables al modelo de negocio fintech de la compañía.

4. Principios rectores del tratamiento

El tratamiento de datos personales realizado por G7Fintech S.A.S. se rige por los siguientes principios, conforme al artículo 4 de la Ley 1581 de 2012:

• el tratamiento se realizará conforme a la ley y a la presente política. Legalidad:
• los datos serán tratados para fines legítimos, claros y previamente informados al titular. Finalidad:
• el tratamiento requiere autorización previa, expresa e informada, salvo excepción legal. Libertad:
• la información deberá ser veraz, completa, exacta, actualizada, comprobable y comprensible. Veracidad o calidad:
• el titular podrá conocer en cualquier momento la existencia y uso de sus datos. Transparencia:
• la información solo será tratada por personas autorizadas y dentro de límites técnicos y jurídicos razonables. Acceso y circulación restringida:
• se implementarán medidas técnicas, humanas y administrativas para proteger la información. Seguridad:
• quienes intervengan en el tratamiento están obligados a preservar la reserva de la información aun después de terminada su relación con la compañía. Confidencialidad:

5. Datos personales que podemos recolectar

Según la relación con el titular y el servicio involucrado, G7Fintech S.A.S. podrá recolectar y tratar, entre otras, las siguientes categorías de datos:

• nombres, apellidos, tipo y número de documento, nacionalidad, fecha de nacimiento, firma, imagen, voz, fotografía y datos de contacto. Datos de identificación:
• correos electrónicos, números telefónicos, direcciones físicas, ciudad, país y otra información de localización reportada por el titular. Datos de contacto y ubicación:
• cargo, empresa, NIT, certificaciones, representación legal, documentos societarios, información de facturación y referencias comerciales. Datos corporativos y contractuales:
• cuentas bancarias, historial de pagos, información de origen y destino de fondos, datos requeridos por procesos KYC/KYB, wallets, actividad transaccional y soportes asociados al servicio. Datos financieros y operativos:
• dirección IP, identificadores de dispositivo, sistema operativo, navegador, cookies, logs, métricas de uso, trazabilidad técnica y comportamiento dentro de plataformas, formularios o landing pages. Datos tecnológicos:
• hoja de vida, experiencia, referencias, formación, afiliaciones, seguridad social, evaluaciones, datos de nómina y soportes requeridos para vinculación. Datos laborales y de selección:
• biométricos, videovigilancia o información que la ley considere sensible, únicamente cuando exista autorización expresa o una habilitación legal suficiente. Su tratamiento es facultativo y el titular no está obligado a suministrarlos. Datos sensibles o de especial protección:

6. Finalidades del tratamiento

G7Fintech S.A.S. tratará los datos personales para una o varias de las siguientes finalidades, según la relación con el titular:

• Gestionar el relacionamiento precontractual, contractual y poscontractual con clientes, usuarios, proveedores, empleados, contratistas y aliados.
• Realizar procesos de identificación, validación, onboarding, autenticación, debida diligencia, KYC, KYB, conocimiento de contrapartes y prevención de fraude.
• Cumplir obligaciones legales, regulatorias, contables, tributarias, societarias, de auditoría, archivo, reporte y requerimientos de autoridades administrativas o judiciales.
• Desarrollar, operar, mantener y mejorar plataformas, landing pages, wallets, integraciones, servicios fintech, servicios tecnológicos y canales de atención.
• Gestionar facturación, recaudo, pagos, dispersiones, conciliaciones, soporte operativo, notificaciones y servicio al cliente.
• Aplicar controles del sistema SAGRILAFT, monitoreo basado en riesgo, verificación en listas restrictivas, análisis de alertas y cumplimiento ante la UIAF cuando corresponda.
• Gestionar campañas de comunicación institucional, educación financiera, mercadeo, invitaciones a eventos, encuestas, estudios de satisfacción y analítica comercial, respetando en todo caso el derecho del titular a revocar autorizaciones promocionales.
• Administrar procesos de selección, contratación, seguridad y salud en el trabajo, bienestar, nómina, formación y control de acceso para personal y contratistas.
• Implementar controles de seguridad física y lógica, incluida videovigilancia, registro de accesos, trazabilidad y preservación de evidencia.
• Atender consultas, reclamos, solicitudes de actualización, rectificación, supresión y revocatoria presentadas por los titulares.

7. Autorización del titular

La compañía solicitará y conservará la autorización previa, expresa e informada del titular, salvo en los casos en que la ley permita el tratamiento sin autorización. La autorización podrá obtenerse por medios físicos, electrónicos, mensajes de datos, formularios web, mecanismos de aceptación por clic, firma manuscrita, firma electrónica, grabaciones u otros medios verificables que permitan evidenciar el consentimiento otorgado.

Cuando se traten datos sensibles o datos de niños, niñas y adolescentes, la compañía adoptará las salvaguardas reforzadas exigidas por la ley, informará de forma explícita el carácter facultativo de la respuesta y restringirá el acceso a dicha información a quienes estrictamente lo requieran.

8. Derechos de los titulares

De conformidad con la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos, que podrán ejercer a través de los canales indicados en la sección 13:

• Conocer, actualizar, rectificar y corregir sus datos personales.
• Solicitar prueba de la autorización otorgada, salvo cuando legalmente no sea exigible.
• Ser informado sobre el uso que se ha dado a sus datos personales.
• Presentar consultas y reclamos ante la compañía y, una vez agotado el trámite interno, ante la Superintendencia de Industria y Comercio (SIC).
• Revocar la autorización y solicitar la supresión del dato cuando no exista deber legal o contractual que impida su eliminación.
• Acceder en forma gratuita a sus datos personales objeto de tratamiento, al menos una vez al mes y cuando se justifique una solicitud adicional.
• Abstenerse de responder preguntas sobre datos sensibles o sobre información de niños, niñas y adolescentes, según aplique.

9. Transferencia y transmisión de datos

G7Fintech S.A.S. podrá transmitir o transferir datos personales a terceros ubicados dentro o fuera de Colombia cuando ello sea necesario para la operación, la ejecución contractual, la prestación de servicios tecnológicos, la validación KYC/KYB, la prevención de riesgos, la atención de requerimientos regulatorios o el soporte de infraestructura. Los destinatarios podrán incluir, entre otros:

• Encargados de tratamiento, proveedores tecnológicos de hosting, analítica, mensajería, CRM, firma electrónica, soporte y ciberseguridad.
• Aliados operativos y de infraestructura habilitadores de servicios financieros o de activos digitales, cuando el producto o servicio lo requiera.
• Entidades financieras, corresponsales, proveedores BaaS/CaaS/Crypto-as-a-Service, cámaras de compensación, operadores de pago, bancos o custodios, según corresponda.
• Autoridades, jueces, entes de control, auditores, revisores fiscales o asesores externos, cuando exista deber legal o interés legítimo debidamente soportado.

En todo caso, la compañía exigirá a sus encargados y aliados estándares de seguridad y confidencialidad acordes con la naturaleza de la información tratada y con la normativa colombiana e internacional aplicable. Cuando se realicen transferencias internacionales, se garantizarán niveles de protección adecuados o se obtendrá la autorización expresa del titular.

10. Seguridad de la información

G7Fintech S.A.S. implementa medidas técnicas, administrativas y humanas orientadas a proteger la confidencialidad, integridad y disponibilidad de los datos personales. Entre otras, se adoptan las siguientes medidas:

• Controles de acceso bajo principio de necesidad de conocer y mínimo privilegio.
• Medidas de autenticación, trazabilidad, resguardo documental y protección de credenciales.
• Canales razonablemente seguros para la transmisión de información sensible.
• Restricciones contractuales y deberes de confidencialidad para empleados, contratistas y terceros autorizados.
• Procedimientos internos de atención de incidentes de seguridad, continuidad operativa y escalamiento a las áreas competentes.

En caso de incidentes de seguridad que afecten datos personales, la compañía actuará conforme a los protocolos internos y a las obligaciones de reporte aplicables.

11. Conservación de la información

Los datos personales serán conservados durante el tiempo necesario para cumplir las finalidades informadas, atender la relación jurídica con el titular y satisfacer las obligaciones legales, contractuales, regulatorias, contables, probatorias y de auditoría aplicables, así como para gestionar la defensa de los intereses legítimos de la compañía.

Cumplida la finalidad y vencidos los términos de conservación aplicables, la información será eliminada, anonimizada, bloqueada o archivada de forma segura, según corresponda con el tipo de dato y la normativa vigente.

Los plazos específicos de conservación por tipo de dato, relación y finalidad estarán definidos en los procedimientos internos de gestión documental y cumplimiento de la compañía.

12. Procedimiento de consultas y reclamos

Los titulares podrán ejercer sus derechos mediante comunicación escrita dirigida a los canales indicados en la sección 13, indicando: nombre completo, documento de identidad, descripción de la solicitud, datos de contacto y, de ser pertinente, documentos de soporte.

Agotado el trámite interno sin respuesta satisfactoria, el titular podrá acudir ante la Superintendencia de Industria y Comercio (SIC) en los términos del artículo 16 de la Ley 1581 de 2012.

13. Canales de atención

La compañía procurará habilitar un canal exclusivo para solicitudes de habeas data, separado del buzón contractual general, con el fin de garantizar una atención oportuna y diferenciada.

14. Vigencia y actualizaciones

La presente Política rige a partir de su publicación en la página web o landing page oficial de G7Fintech S.A.S. y podrá ser modificada, actualizada o sustituida en cualquier momento para reflejar cambios normativos, operativos, tecnológicos o corporativos.

Las versiones actualizadas serán informadas mediante publicación en los canales oficiales de la compañía. El uso continuado del sitio web tras la publicación de una actualización implicará la aceptación de la nueva versión por parte del titular.

En caso de conflicto entre esta versión pública y documentos contractuales o regulatorios específicos, prevalecerá la disposición que resulte aplicable según la relación jurídica concreta y la normativa vigente.