GESTIÓN DE RIESGOS
MANUAL DE TRATAMIENTO DE DATOS
Código:
Versión: V01
Vigencia: 2023-08-31

MANUAL INTERNO TRATAMIENTO DE DATOS PERSONALESMOTOCREDITO DE COLOMBIA S.A.S

CAPÍTULO I

1. ASPECTOS GENERALES

Por medio del presente manual, se da cumplimiento a lo establecido en el literal k del artículo 17 de
la Ley 1581 de 2012, que regula los deberes a los que están sometidos los responsables del
tratamiento de los datos personales, dentro de las cuales se ordena adoptar un manual interno
de políticas y procedimientos para garantizar el adecuado cumplimiento de mencionada ley y en
especial para la atención de consultas y reclamos.

2. MARCO JURÍDICO

El presente documento ha sido redactado e inspirado en el respeto de lo establecido en la Ley 1581
de 2012, el Decreto 1377 de 2013 y la Sentencia C – 748 de 2011, su interpretación ha de ser
basada en los referidos elementos normativos y en criterios de autonomía y buena fe.

3. APLICACIÓN POLÍTICA PROTECCIÓN DE DATOS PERSONALE

MOTOCREDITO DE COLOMBIA S.A.S, en calidad de responsable de la información recolectada
de sus aspirantes, empleados, proveedores, contratistas, socios, clientes y demás, en todo lo
dispuesto en materia de protección de datos personales dará cumplimiento a la Ley 1581 de 2012,
Decreto 1377 de 2013 y en general a lo establecido en la Política de Protección de Datos
Personales de MOTOCREDITO DE COLOMBIA S.A.S, podrá consultarse en el archivo físico de
la compañía ubicado en la dirección CL 99 99-86 – Fundadores; Apartado _Antioquia.

4. OBJETIVO

El presente documento tiene como objetivo establecer las políticas por parte de la MOTOCREDITO
DE COLOMBIA S.A.S para el tratamiento de los datos personales de todos sus clientes activosy
potenciales, usuarios, empleados, candidatos a empleados y proveedores, en el desarrollo de su
objeto social y conforme a la ley y la Constitución Nacional que de una u otra forma tengan acceso
a la información personal consignada en las distintas bases de datos de la compañía.

5. IDENTIFICACIÓN DEL RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES

Dirección domicilio principal: CL 99 99-86 – Fundadores; Apartado _Antioquia.
Teléfono: 3214594487
Correo electrónico: motocreditodecolombia@gmail.com

6. DEFINICIONES

• Autorización: consentimiento previo, expreso e informado del Titular para llevar acabo
el Tratamiento de datos personales.
• Base de Datos: conjunto organizado de datos personales que sea objeto deTratamiento.
• Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables.
• Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del
responsable del Tratamiento.
• Responsable Del Tratamiento: persona natural o jurídica, pública o privada, que por sí
misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
• Titular: persona natural cuyos datos personales sean objeto de Tratamiento.
• Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales,
tales como la recolección, almacenamiento, uso, circulación o supresión.
• Dato Personal Público: son aquellos datos personales que las normas y la Constitución
han determinado expresamente como públicos y, para cuya recolección y tratamiento, noes necesaria
la autorización del titular de la información. (Ej. Dirección, teléfono, datos contenidos en sentencias
judiciales ejecutoriadas que no estén sometidas a reserva, datos sobre el estado civil de las personas,
entre otros).
• Dato Personal Semiprivado: son datos que no tienen una naturaleza íntima, reservada,ni
pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de
personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del
titular de la información. (Ej. Dato financiero y crediticio).
• Dato Personal Privado: es un dato personal que por su naturaleza íntima o reservada
solo interesa a su titular y para su tratamiento requiere de su autorización expresa. (Ej. Nivel de
escolaridad, gustos o preferencias de las personas).
• Dato Personal Sensible: es aquel dato personal de especial protección, por cuanto
afecta la intimidad del titular y su tratamiento puede generar discriminación. NO puede ser objeto de
tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se
encuentre incapacitado y su obtención haya sido autorizada expresamente. (Ej. Origen racial o
étnico, orientación política, convicciones religiosas o filosóficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos, datos biométricos, relativos a la salud).
• Transferencia: se trata de la operación que realiza el responsable Del Tratamiento,
cuando envía la información a otro receptor, que, a su vez, se convierte en responsable del
tratamiento de esos datos.

7. VIGENCIA

La presente Política para el Tratamiento de Datos Personales rige a partir del 16 de diciembre de
2021.
Las bases de datos en las que se registran los datos personales tendrán una vigencia igual al
tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política.Una
vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de
conservar su información, se suspenderá el uso de los datos

CAPÍTULO II

1. DISPOSICIONES ESPECIALES.

1.1. DEBERES DE MOTOCREDITO DE COLOMBIA S.A.S RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

De acuerdo con las definiciones legales y propias de esta política empresarial interna de tratamiento
de datos, MOTOCREDITO DE COLOMBIA S.A.S, actuará como responsable del tratamiento de
datos personales y cumplirá con los deberes establecidos en el artículo 17 de la Ley 1581 de 2012.

1.2. DEBERES DE LOS FUNCIONARIOS DESIGNADOS PARA EL TRATAMIENTO DE LA INFORMACIÓN.

Los empleados o funcionarios encargados para el tratamiento de datos asumirán suresponsabilidad
como tales y tendrán como obligaciones principales:
• Garantizar al titular, de manera permanente, el pleno y efectivo ejercicio del derecho de
Hábeas Data; entendiendo por este el derecho a conocer, actualizar y rectificar la información que
sobre él reposa en las bases de datos personales que son administradas por el encargado de
tratamiento,
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento,
• Realizar oportunamente la actualización, rectificación o supresión de los datos en los
términos de la ley,
• Actualizar la información reportada por los responsables del tratamiento dentro de los
cinco (5) días hábiles contados a partir de su recibo,
• Tramitar las consultas y los reclamos formulados por los titulares en los términos
señalados en la ley,
• Registrar en la base de datos las leyendas «reclamo en trámite» en la forma en que se
regula en la ley,
• Insertar en la base de datos las leyendas «información en discusión judicial» una vez
notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la
calidad del dato personal,
• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio,
• Permitir el acceso a la información únicamente a las personas que pueden tener accesoa
ella
• Informar a la Superintendencia de Industria y Comercio cuando se le presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de lainformación de
los titulares,
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
Deberes de seguridad:
• Cuando el funcionario se ausente de su lugar de trabajo, debe bloquear su estación de
trabajo y debe guardar en un lugar seguro y bajo llave cualquier medio magnético removible que
contenga información sensible,
• Al momento de finalizar la jornada de trabajo, el funcionario debe guardar en un lugar
seguro y bajo llave los medios que contengan información sensible de MOTOCREDITO DE
COLOMBIA S.A.S, a la que tenga acceso,
• En caso que sea necesario imprimir algún documento que contenga información clasificada
o sensible, se debe retirar inmediatamente de la impresora y asegurarse que no haya quedado
nada en cola de impresión,
• Obligación de notificar al área administrativa o a la persona encargada de la parte de
informática sobre cualquier incidente de seguridad relacionado con el puesto de trabajo, en
especial de:
• Alerta de virus generadas por el antivirus,
• Llamadas sospechosas solicitando información de los titulares de datos personales de
la organización o de información confidencial y/o sensible,
• Pérdida de dispositivos móviles (computadores portátiles, celulares, tabletas, etc.) y
externos de almacenamientos (discos duros extraíbles, USB, CD, etc.) que contengan información
confidencial y/o sensible de la organización,
• Cualquier actividad sospechosa que observe en el puesto de trabajo,
• Borrado accidental de información de los titulares de los datos personales,
• Comportamientos extraños de los sistemas de información,
• Evidencia o sospecha de acceso de personal no autorizado al puesto de trabajo.
• Prohibición de publicar o compartir contraseñas confidenciales, no debiendo estas
compartirse ni apuntarse en ningún documento,
• Prohibición de alteración de la configuración del equipo y la instalación de aplicaciones no
autorizadas,
• No ingerir alimentos y bebidas en los puestos de trabajo,
• Las estaciones de trabajo fijas y los equipos portátiles, deben tener configurado unestándar
de protector de pantalla, de forma que se active ante un tiempo de como máximodoce (12) minutos
sin uso,
• La pantalla de autenticación para el acceso a la red de MOTOCREDITO DE COLOMBIA
S.A.S, debe solicitar únicamente el ID de usuario y la contraseña,
• Cuando el colaborador se ausente de su lugar de trabajo, debe bloquear su estación de
trabajo de tal forma que proteja el acceso a las aplicaciones, servicios y archivos,
• En casos de almacenamiento de información que requiere niveles altos de seguridad
(Datos personales sensibles, información crítica de la organización) será necesario la destrucción
total del soporte de almacenamiento,
• Antes de que el equipo de cómputo sea cedido o desechado, además de realizar borrador
seguro, también será necesario eliminar las carpetas temporales, los datos guardados en las
cookies, los backups de los datos, configuración de cuentas de usuario y de correo. (Caso equipos
de cómputo leasing).

2. TITULARES DE DATOS PERSONALES.

2.1. AUTORIZACIONES Y CONSENTIMIENTO

El procedimiento para conseguir o fijar en medios de prueba, la manifestación de voluntad o
autorización del titular de los datos personales será el siguiente:
• Se pondrá en conocimiento del titular, las consideraciones respecto de la importancia de
manifestar su autorización para el uso de sus datos personales, atendiendo a los aspectos más
importantes de la presente política de manejo de datos,
• Una vez explicadas las consideraciones en relación con la autorización requerida, le será
entregada un formato de autorización que deberá ser suscrita por el titular,
• En los casos en los que se requiera de una autorización masiva de tratamiento de datos,
el encargado del evento en el que se desarrolle la recolección de datos, explicará al público las
implicaciones de la aceptación o autorización de tratamiento de datos personales. A continuación,
hará entrega de las respectivas planillas en las que las personas consignarán sus datos; dichas
planillas y el acta o formato de autorización se entenderán como un solo documento,
• En cualquier caso, la suscripción de cualquier tipo de autorización para el manejo de datos
hará indispensable una explicación de parte del funcionario sobre las implicaciones relativas a la
presente política,
• Las autorizaciones deberán constar en medios físicos o digitales; sus modelos o formatos
de aceptación estarán disponibles en Carrera 50 Nro. 65-66, Bogotá D.C.

2.2. PRUEBA DE LA AUTORIZACIÓN

Podrá ser física o electrónica. Los repositorios o archivos en los que se dé cuenta de lasactividades
que se realicen se mantendrán en la sede de la empresa y serán custodiados por la persona
encargada para tal fin. La suscripción de la autorización para el manejo de datospersonales o aviso
de privacidad será prueba de la voluntad del titular y otorgará la facultad de manejar sus datos de
acuerdo con la finalidad establecida en el documento para tal fin.

2.3. DERECHOS DE LOS TITULARES DE DATOS.

Los titulares podrán presentar solicitudes ante MOTOCREDITO DE COLOMBIA S.A.S, atendiendo
a los siguientes derechos:
• Acceder, conocer, rectificar y actualizar sus datos personales; este derecho será conocido
con el nombre de Hábeas Data,
• Solicitar prueba de la autorización otorgada para el tratamiento de sus datos,
• Recibir información respecto al uso que se le ha dado a sus datos personales,
• Acudir ante las autoridades, en especial ante la Superintendencia de Industria y Comercio,y
presentar quejas por infracciones a lo dispuesto en la normatividad vigente y en el presente
documento,
• Modificar y revocar la autorización y/o solicitar la supresión del dato personal,
• Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido
objeto de tratamiento.
El ejercicio de los derechos por parte de los titulares de datos personales, se realizará de manera
personal acreditando su identidad a través de la exhibición de su documento de identidad o el de
sus dependientes; así mismo podrán hacerlo sus herederos, su apoderado y demás personas que
sean facultadas por este de manera suficiente.

2.4. PROCEDIMIENTOS PARA HACER EFECTIVOS DERECHOS DE LOS TITULARES

Los titulares, o sus causahabientes podrán consultar la información personal del titular que repose
en cualquier base de datos. En consecuencia, MOTOCREDITO DE COLOMBIA S.A.S, garantizará
que los titulares puedan hacer efectivos sus derechos a través de los siguientes mecanismos:

2.5. CONSULTAS

La consulta es el derecho que poseen los titulares de conocer la información personal que reposaen
cualquier base de datos de la MOTOCREDITO DE COLOMBIA S.A.S la cual será atendida en un
máximo de diez (10) días hábiles contados desde la fecha de recibo. Con el fin de atender las
consultas que se presenten en relación con los datos personales que posea la sociedad comercial
se procederá de la siguiente manera:
• Previo a la presentación de solicitudes, la empresa habilitará canales de comunicación
física o electrónica lo suficientemente sencillos como para garantizar el acceso a los datos
personales por parte de los titulares de los datos. Estos canales de acceso y comunicacióndeberán
facilitar en todo caso los derechos de los titulares y se harán mediante formulariospreestablecidos
sean físicos o virtuales,
• Una vez recibida la consulta, esta se dirigirá al área encargada de la administración de
los datos personales. La cual la identificará, radicará y procederá a estudiarla,
• En un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo,
deberá remitirse la respuesta a la consulta de acuerdo con el canal de comunicación establecido
por el solicitante al momento de su solicitud, sea física o electrónica,
• Si por algún motivo ajeno a la voluntad del responsable de datos, no fuere posible atender
la consulta dentro del término mencionado en el numeral anterior, se informará al interesado con
dos (2) días hábiles previos al vencimiento, expresando los motivos de la demora y señalando la
fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días
hábiles siguientes al vencimiento del primer plazo.

2.6. RECLAMOS

De acuerdo con lo establecido en las leyes que regulan la materia, el titular, sus herederos o
representantes, pueden presentar reclamos cuando consideren que la información
contenida en la base de datos deba ser corregida, actualizada o suprimida; así mismo podrán hacerlo cuando
consideren que el responsable del tratamiento no ha cumplido con las disposiciones normativas
vigentes. Los reclamos se tramitarán de la siguiente manera:
• Establecidos los canales de consulta y reclamo que deben darse a conocer al público en
general, los interesados presentarán sus reclamos mediante comunicación dirigida a
MOTOCREDITO DE COLOMBIA S.A.S estableciendo su identificación, lo hechos que lo llevan a
presentar su reclamación, su información para notificación y aquellos documentos que pretenda
hacer valer,
• De ser necesario, MOTOCREDITO DE COLOMBIA S.A.S, como responsable de datos
personales, podrá requerir al reclamante para que en un término de cinco (5) días adicione su
solicitud con el fin de darle respuesta. Transcurridos dos (2) meses desde la fecha del
requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha
desistido del reclamo,
• En caso de que quien reciba el reclamo no sea competente para resolverlo, dará trasladoa
quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al
interesado,
• Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga
«reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha
leyenda deberá mantenerse hasta que el reclamo sea decidido,
• El término máximo para atender el reclamo será de quince (15) días hábiles contados a
partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamodentro de
dicho término, se informará al interesado los motivos de la demora y la fechaen que se atenderá
su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento
del primer término,
• Las reclamaciones podrán versar sobre rectificación, actualización o supresión de sus
datos personales, previa acreditación de su identidad.

2.7. RECTIFICACIÓN, ACTUALIZACIÓN Y SUPRESIÓN DE DATOS

Se procederá de conformidad a las solicitudes de los titulares de los datos, siempre que presenten
sus solicitudes de acuerdo con las normas mínimas sobre el tema. La supresión no requerirá
esgrimir argumentos más allá de la simple voluntad del dato y por ello no habrá lugar a la réplica de
parte del responsable de datos.
La solicitud de rectificación, actualización o supresión deberá ser presentada a través de los medios
anteriormente descritos y contendrá:
• El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta,
• Los documentos que acrediten la identidad o la personalidad de su representante,
• La descripción clara y precisa de los datos personales respecto de los cuales el titular
busca ejercer alguno de los derechos,
• En caso dado, otros elementos o documentos que faciliten la localización de los datos
personales,
• Se procederá de conformidad a las solicitudes de los titulares de los datos, siempre que
presenten sus solicitudes de acuerdo con las normas mínimas sobre el tema. La supresión
no requerirá esgrimir argumentos más allá de la simple voluntad del dato y por ello no habrá lugar a
la réplica de parte del responsable de datos.

3. SISTEMA DE GESTIÓN DE DATOS PERSONALES

3.1. Socialización de la Política de Tratamiento de Datos Personales: La política deberá ser
comunicada y publicada tanto en medio físico como electrónico, esto es, a través de correo
electrónico institucional enviado desde el órgano directivo de la compañía y su publicación en la
página web de la sociedad.
3.2. Definición del Oficial del Protección de Datos Personales: A través de una reunión interna de la
dirección de la empresa, se definirá la persona que asumirá el cargo de Oficial de Protección de
Datos Personales y sentar un acta de la reunión aludida como constancia y prueba de la ocurrencia
de esta.
El Oficial de Protección de Datos Personales es la persona designada al interior de la compañía
como el responsable de vigilar el cumplimiento del Sistema de Gestión de Datos Personales, sus
principales responsabilidades son la medición y evaluación permanente, y el trámite de las
solicitudes que realicen los titulares de la información. Las funciones principales del Oficial de
Protección de Datos Personales son:
• Actualizar la Política de Tratamiento de Datos Personales una vez por año,
• Socializar periódicamente la Política de Tratamiento de Datos Personales,
• Coordinar la definición e implementación de los controles
del Sistema de Gestión de Datos Personales,
• Servir de coordinador con las demás áreas de la compañía para asegurar una correcta
implementación transversal del Sistema de Gestión de Datos Personales,
• Impulsar una cultura de protección de datos dentro de la organización,
• Actualizar periódicamente el registro realizado en el Registro Nacional de Base de Datos
establecido por la Superintendencia de Industria y Comercio,
• Realizar capacitaciones periódicas a los empleados en relación con la protección de datos
personales,
• Capacitar a los empleados nuevos que tengan acceso debido a las condiciones de su cargo a
datos personales dentro de la organización,
• Velar por la implementación de auditorías internas con el fin de verificar el cumplimiento de sus
políticas de tratamiento de datos personales

Contacto