Política o Aviso de

Privacidad

Noviembre 2023

Si usted ha recibido o tiene acceso al presente a Política o Aviso de Privacidad, incluyendo

a través del uso de nuestro sitio web https://panama.grupobancolombia.com/politica-

privacidad, significa que ha suministrado sus datos personales a favor de Bancolombia

(Panamá) o Bancolombia (Sucursal Panamá), o que lo hemos contactado a partir de datos

obtenidos de un tercero.

Al recibir o tener acceso a esta Política o Aviso de Privacidad usted podrá ejercer sus

derechos de acceso, rectificación, cancelación, oposición y portabilidad. Si contra el recibo

de la presente Política o Aviso de Privacidad, usted no ejerce su derecho de oposición o

revocatoria, se entiende que ha leído, entendido y aceptado el tratamiento de sus datos

conforme a la presente Política o Aviso de Privacidad.

Política o Aviso de privacidad

En Bancolombia (Panamá) S.A. y Bancolombia S.A. (Sucursal Panamá), en adelante los

Bancos, reconocemos la importancia de informar a cualquier individuo con los cuales

mantenemos una relación contractual, así como a cualquier individuo que interactúe con

nosotros, sobre el uso y tratamiento de sus datos personales. Es por lo que, en nuestra

condición de responsables del tratamiento de datos personales, y en cumplimiento de lo

establecido en las normas que regulan la Protección de Datos Personales en Panamá,

le comunicamos a continuación los lineamientos y demás información relevante con

respecto al tratamiento de sus datos personales por parte de los Bancos.

¿Qué tipo de datos personales se obtienen y procesan?

Los datos personales procesados por los Bancos incluyen o pueden incluir, lo siguientes

datos, en la medida en que permitan identificar a su titular como individuos,

distinguiéndolos de otros: nombre, alias, número de identificación, datos de contacto,

ubicación o domicilio, identidad social, cultural, información comercial, información

financiera, información física o socio demográfica, número de cliente o producto,

ocupación, profesión, cargos ocupados, participación en entidades, nacionalidad,

actividad, perfil transaccional, comportamiento crediticio, detalle de los productos y

servicios contratados, referencias personales, comerciales o financieras, opiniones o

calificaciones, información sensible, como datos biométricos e información sobre

posibles investigaciones y comisión de delitos, identidad racial o étnica, datos relativos

a su salud.

Es importante que usted conozca que los Bancos procesamos datos personales tanto

del titular de los datos, como de sus relacionados. Para efectos de esta Política o Aviso

de Privacidad, la categoría de titular de datos incluye a clientes actuales o potenciales,

exclientes y sus relacionados, así como a usuarios o individuos que contacten o

interactúen con los Bancos para conocer sus productos y servicios, a través de sus

canales, incluyendo su sitio web. Por su parte, la categoría de relacionados incluye a

cotitulares, accionistas y socios, beneficiarios finales y controladores, directores,

dignatarios, ejecutivos, firmantes autorizados y representantes, garantes, protectores,

fideicomitentes, fiduciarios, o cualquier otra persona natural relacionada al cliente,

potencial cliente o excliente, cuya información sea requerida para la prestación de los

productos y servicios de los Bancos. Si usted es empleado, proveedor, agente, director,

accionista, o visitante de los Bancos, el tratamiento de sus datos personales no está

regido por la presente Política o Aviso de Privacidad.

Así mismo, los Bancos procesamos datos personales de forma directa o a través de

terceros, incluyendo otras entidades del Grupo Bancolombia, que ejecutan por nuestra

cuenta, actividades y procesos de los Bancos. En estos casos, la relación entre los

Bancos y dichos terceros constarán en contratos, los cuales incluirán las disposiciones

necesarias para asegurar que el procesamiento de los datos personales se realice de

acuerdo con las instrucciones y el alcance autorizado por los Bancos, y en

cumplimiento de medidas de seguridad para evitar el uso indebido o no autorizado de

datos personales.

Aquellos datos que sean completamente anónimos o disociados, esto es, que no permitan

la identificación del individuo, ni directamente, ni a través de su combinación con otros

datos; no serán considerados como datos personales.

¿Qué tipo tratamiento o procesamiento se lleva a cabo sobre

los datos personales?

Los datos personales a los cuales tenemos acceso podrán ser objeto de los siguientes

tratamientos o actividades: obtener, solicitar, consultar, recopilar, intercambiar, transferir,

transmitir, ceder, grabar, registrar, asociar, disociar, comunicar, interconectar, organizar,

almacenar, analizar, cancelar, inferir, combinar, bloquear, eliminar, extraer, confrontar y en

general utilizar datos personales.

¿Quién es responsable por el tratamiento de los datos

personales?

En el desarrollo de su negocio y la prestación de sus productos y servicios, los Bancos

obtienen y procesan datos personales de titulares y relacionados, incluyendo datos

sensibles. Los Bancos tienen la capacidad de tomar decisiones sobre las finalidades, la

forma, los medios y el alcance del tratamiento de estos datos personales. En este

sentido, los Bancos son responsables por el tratamiento de datos personales, y deben

cumplir con las normas sobre protección de datos personales.

¿Cómo puede contactarnos para asuntos relacionados con sus

datos personales?

A continuación, le compartimos los datos de contacto de los Bancos, como

responsables de sus datos personales, y de nuestro Oficial de Protección de Datos:

Bancolombia (Panamá)

Calle 47 y Aquilino de la Guardia, Plaza Marbella, Ciudad de Panamá, República de

Panamá.

Correo electrónico: apoyo@bancolombia.com

Líneas telefónicas:

Desde Medellín (+574) 514 6677

Desde cualquier otro lugar de Colombia: 018000 954441

Desde Centroamérica: 800- 6095

Bancolombia (Sucursal Panamá)

Calle 47 y Aquilino de la Guardia, Plaza Marbella, Ciudad de Panamá, República de

Panamá.

Líneas telefónicas: (507) 208-9700

Oficial de Protección de Datos:

Calle 47 y Aquilino de la Guardia, Plaza Marbella, Ciudad de Panamá, República de

Panamá.

Correo electrónico: oficialdeproteccióndatos_panama@bancolombia.com

¿Cuáles son las condiciones que legitiman el tratamiento de

datos personales?

Cuando exista cualquiera de las siguientes condiciones, el Banco queda habilitado para

procesar sus datos personales:

• Cuando el procesamiento de datos es necesario para ejecución o cumplimiento

de obligaciones contractuales entre el titular y los Bancos.

• Cuando el procesamiento de datos es necesario para atender la solicitud del

titular, con miras a celebrar un contrato con los Bancos.

• Cuando el procesamiento es necesario para el cumplimiento de una obligación

prevista en una norma o para el cumplimiento de un requerimiento de una

autoridad competente, o cuando el procesamiento es autorizado por una norma

legal.

• Cuando el procesamiento es necesario para la satisfacción de intereses legítimos

perseguidos por los Bancos o terceros, siempre que, frente a estos intereses, no

prevalezcan los intereses o derechos o libertades fundamentales del titular.

¿Cuándo requerimos su consentimiento para el tratamiento

de datos personales?

Cuando el procesamiento de los datos personales no esté habilitado por alguna de las

condiciones antes descritas, los Bancos deben obtener el consentimiento del titular,

directamente o mediante su representante autorizado. Cuando se trate de datos de

menores o incapaces, el consentimiento se obtendrá del acudiente o tutor o

equivalente. El consentimiento podrá ser obtenido a través de medios físicos o

digitales.

Los Bancos obtendrán su consentimiento a través de la aceptación de las políticas o

aviso de privacidad, así como a través de la aceptación de disposiciones en contratos

o formatos, referidos al procesamiento de datos personales. En estos documentos, el

consentimiento se presentará de forma distinguida, expresa, comprensible, utilizando

un leguaje claro y de forma previa al procesamiento de los datos.

Usted podrá revocar el consentimiento, u oponerse a otorgar su consentimiento, para

el tratamiento de datos personales relacionados con finalidades que requieran de su

consentimiento. Los Bancos aceptarán en cualquier momento su revocatoria u

oposición para las finalidades basadas en su consentimiento, sin embargo, esto no

tendrá efecto retroactivo.

¿Para qué finalidades se obtienen y procesan datos

personales?

Para finalidades o propósitos relacionados con (i) el cumplimiento de contratos, (ii) el

cumplimiento de normas y requerimientos legales; (iii) el aprovechamiento de

autorizaciones contenidas en una norma legal o (iv) la satisfacción de intereses

legítimos de los Bancos o de un tercero, tales como, el reconocimiento o defensa de

derechos dentro de procesos legales, finalidades que hagan parte de expectativas

razonables producto de la relación con el titular de los datos, la prevención del fraude,

gestión de ciberseguridad, la debida diligencia, la evaluación de riesgo y para

contactarlo para cualquiera de las finalidades descritas a continuación, mediante

cualquier medio aprovisionado.

• Para validar su identidad, en nuestras interacciones, incluyendo para la

ejecución, verificación y autorización de sus solicitudes y operaciones.

• Para ejecutar obligaciones derivadas de un contrato suscrito por el cliente en la

prestación de nuestros productos y servicios, incluyendo la entrega del servicio,

la gestión del cobro de obligaciones, el procesamiento de pagos y transferencias.

• Para realizar las gestiones tendientes a establecer una relación contractual que

nos haya solicitado.

• Para administrar sus productos o servicios, así como entregarle información

acerca de los productos o servicios que mantiene con nosotros.

• Para compartirle información acerca de productos y servicios ofrecidos por los

Bancos que pudiesen ser de su interés.

• Para notificarle cambios relacionados con los productos y/o servicios que

mantiene con los Bancos

• Para brindarle soporte en la atención de sus solicitudes, reclamos y

requerimientos

• Para confirmar y actualizar su información

• Para gestionar los riesgos a los cuales estamos expuestos en el desarrollo de

nuestro negocio

• Para fines relacionados con la prevención del uso indebido de los productos y

servicios, incluyendo la prevención del fraude, el blanqueo de capitales, el

financiamiento del terrorismo y la proliferación de armas de destrucción masiva

• Para cumplir con nuestras obligaciones legales, en materia prudencial, de

intercambio de información para fines fiscales o tributarios, entre otras

• Para obtener, a través de terceros, incluyendo entidades del Grupo, servicios,

recursos y capacidades; incluyendo capacidades tecnológicas, uso de redes, de

alojamiento, almacenamiento, procesamiento y analítica de datos, así como

servicios financieros, de asesoría, auditoría, calificación de riesgos,

administrativos, operativos y contables, entre otros; que permiten o facilitan el

ofrecimiento de nuestros servicios a su favor.

• Para obtener la colaboración empresarial de las empresas del Grupo, para la

ejecución de las actividades propias de nuestro negocio.

• Para el ejercicio de los derechos de los Bancos, incluyendo dentro de un proceso

legal.

• Para fines estadísticos, luego de un proceso de disociación o anonimización.

• Para la definición, estructuración y ejecución de transacciones estratégicas para

nuestra operación, modelo de negocio y oferta de servicios, lo cual podrá

implicar la transmisión o transferencia de los datos a entidades del Grupo o

terceros.

• para cualquier otra finalidad requerida para el desarrollo de su objeto social y

para fines compatibles con los propósitos anteriores, incluyendo el uso de

distintos medios y canales, de acuerdo con los avances tecnológicos.

Finalidades o propósitos basados en el consentimiento, el cual usted nos otorga

mediante la aceptación de la presente Política o Aviso de Privacidad, a través de la

aceptación de contratos y formatos sobre protección de datos personales:

• Para el desarrollo de actividades de oferta comercial, publicidad, promoción o

mercadeo de los productos y servicios de los Bancos a través de distintos medios

de comunicación y redes sociales;

• Para el desarrollo y optimización de productos, servicios y canales;

• Para obtener, consultar, reportar, rectificar, modificar y eliminar el historial o

antecedentes de créditos, ante centrales de riesgo o agencias de información.

• Para obtener análisis o evaluación de crédito, investigaciones económicas y

comerciales, estadísticas, reputacionales y de mercado.

• Para obtener y conocer el estado de sus operaciones, así como su

comportamiento financiero, comercial, reputacional, el cumplimiento de sus

obligaciones, la imposición de multas y sanciones, con otras entidades, tanto

del Grupo como no vinculadas, incluyendo operadores de información o

proveedores de bases de datos.

• Para obtener, registrar y en general procesar sus datos, para optimizar su

experiencia y conocer sus preferencias, monitorear su información, y para

presentar contenidos y publicidad relacionados con sus preferencias cuando

navegan por nuestros sitios web, plataformas y/o aplicativos tecnológicos y/o

digitales, incluyendo el uso de cookies propias y de terceros.

• Para compartirla con aliados estratégicos de los Bancos, para que estos puedan

ofrecerle beneficios y servicios asociados a nuestros productos y servicios.

• Para compartir sus datos con entidades del Grupo, para que estas a su vez

puedan procesarla, para contactarlo, verificar y actualizar su información,

ofrecerle beneficios, productos y servicios, a través de distintos medios y

canales, así como medir, reportar y gestionar su desempeño comercial y

administrativo, cumplir con regulaciones que le sean aplicables, gestionar

riesgos, y prevenir el uso indebido de sus productos y servicios, a nivel individual

o consolidado.

• Para la toma de decisiones relevantes para usted, relacionadas con la prestación

de nuestros productos y servicios, basadas exclusivamente en el procesamiento

automatizado de datos personales.

• Para transferir sus datos personales a un país o jurisdicción distinta al país o

jurisdicción de los Bancos, donde las entidades que reciban los datos personales

no apliquen estándares equivalentes en materia de protección de datos

personales, a aquellos aplicados por los Bancos.

• Para realizar encuestas de satisfacción concerniente a los servicios prestados por

el Grupo.

• Para entregar datos personales a favor de otro controlador de datos personales,

de forma estructurada, en formato genérico, de uso común y a través de

sistemas interoperables, cuando no exista otra base legítima para hacerlo;

incluyendo la exposición de información APIS (Application Programming

Interface), y en virtud de ecosistemas de información abierta (Open Banking).

• Para compartir su información con terceros, tales como, asesores, consultores,

contrapartes, aliados, proveedores y corresponsales, cuando lo requieran en el

contexto de la ejecución de una transacción o la prestación de servicios

financieros, de asesoría o corresponsalía a favor de los Bancos.

• Para compartir su información con autoridades extranjeras, cuando sea

requerida en el contexto de investigaciones y acciones relacionadas con la

prevención del blanqueo de capitales, financiamiento del terrorismo, y cualquier

otra actividad ilícita, basado en una norma extranjera con aplicación

extraterritorial.

• Para la obtención y procesamiento de datos sensibles.

• Para compartir información, a solicitud del cliente o su representante

autorizado.

• Para con el objetivo de mejorar la experiencia de nuestros canales digitales y

permitir el acceso a diversas funcionalidades y gestionar la seguridad; realizar

los siguientes usos en los dispositivos electrónicos: (i)Acceso a la libreta de

contactos, para compartir el comprobante de las transacciones. (ii) Acceso a

cámara, para realizar biometrías faciales para autenticación o firma, escaneo de

documento que el titular decida compartir con los Bancos; (iii). Acceso a la

información de conexión, ID del dispositivo móvil, información del rendimiento

de la aplicación con la finalidad de realizar una mejor gestión de la seguridad,

proporcionar y ofrecer experiencias y productos personalizados y habilitar

funcionalidades.  Al respecto destacamos que, los Bancos en ningún momento

accederán a fotos personales, archivos guardados, historial de conversaciones,

teléfonos de contacto y, en general, información confidencial que administra el

titular en su dispositivo móvil para finalidades diferentes a las expuestas.  Estos

accesos pueden ser modificados en cualquier momento en las opciones de

configuración del dispositivo electrónico, cuando aplique.

• Para fines compatibles con los anteriores.

Condiciones especiales para el procesamiento de datos

personales sensibles.

Se entiende por datos sensibles toda información inherente a la intimidad del titular, y se

refiere de manera enunciativa a todos aquellos datos personales que puedan revelar

aspectos como el origen racial o étnico, creencias o convicciones religiosas, filosóficas y

morales, afiliación sindical, opiniones políticas, datos relativos a la salud y la vida,

preferencia u orientación sexual, datos genéticos o datos biométricos obtenidos mediante

fotos, imágenes, videos, voz o cualquier tratamiento técnico específico que permita

identificar las características físicas, fisiológicas o conductuales de una persona natural

dirigidos a identificarla de manera inequívoca.

Por su naturaleza, comprendemos que el uso indebido de los datos sensibles puede dar

origen a actos discriminatorios o que conlleven un riesgo grave para su titular; razón por la

cual para su procesamiento se requiere obtener su consentimiento, salvo si el

procesamiento es necesario para la protección de intereses del titular, defensa o ejercicio

de derechos del titular bajo un proceso legal; o cuando el procesamiento involucre

datos divulgados o hechos públicos por el titular de los datos.

Consideraciones sobre la toma de decisiones basadas en

procesamientos automatizados de datos personales

Los Bancos podrán tomar decisiones de impacto, basadas exclusivamente en el

resultado de un procesamiento automatizado de datos personales, de conformidad

con lo previsto en sus políticas, contratos o formatos de consentimiento. Las

decisiones basadas en procesamientos automatizados podrán incluir, la asignación de

perfiles de riesgo, la estimación de su conducta, fiabilidad, asignación de preferencias,

intereses o comportamientos.

La lógica aplicada en la creación de perfiles y procesamientos automatizados podrá

incluir, entre otros, técnicas de cálculos estadísticos, modelos predictivos utilizando

regresiones lineales, uso de variables de riesgo, factores de confianza y calibración.

Las decisiones basadas en procesamientos automatizados podrán impactar el acceso,

la oferta y costos de los productos y servicios de los Bancos.

¿Cuál es el tiempo de conservación de los datos personales?

Los Bancos conservarán sus datos personales por el tiempo que sea necesario para los

fines o propósitos específicos para los cuales fueron obtenidos; o por el tiempo

requerido por norma.

Por aplicación de las normas para la prevención del blanqueo de capitales y financiación

del terrorismo, los Bancos están obligadas a mantener registros de información de sus

clientes y sus operaciones por un plazo de al menos cinco (5) años, contados a partir

de la terminación de la relación comercial. No obstante, otras normas pueden requerir

la conservación de información por plazos superiores a este.

Así mismo, los Bancos podrán conservar datos personales por plazos superiores,

cuando tenga un interés legítimo, por ejemplo, para atender reclamaciones y defender

sus derechos dentro de procesos legales, o atender requerimientos legales, que

pueden tener plazos de prescripción superiores. Vencido el plazo de conservación, los

datos personales serán eliminados o anonimizados.

En los casos en los cuales los datos personales son compartidos con terceros, las

regulaciones y derechos aplicables a dichos terceros, podrían afectar el plazo de

conservación de los datos personales.

Vigencia y modificación de la Política o Aviso de Privacidad

La presente Política o Aviso de Privacidad, así como sus modificaciones, serán divulgadas

para conocimiento de los titulares de datos y del público en general, a través de los

distintos medios y canales de comunicación de los Bancos, incluyendo en el siguiente

vínculo: https://panama.grupobancolombia.com/.

Las condiciones de la Política o Aviso de Privacidad serán aplicables desde la fecha en que

usted reciba o tenga acceso al mismo, incluyendo a través del uso continuado del sitio web

y demás canales de los Bancos en los cuales sea divulgado la presente Política o Aviso de

Privacidad. El Banco se reserva el derecho a revisar, actualizar o modificar las condiciones

de la Política o Aviso de Privacidad, las cuales serán aplicables desde la fecha en que las

mismas sean divulgadas a través de los distintos medios y canales de comunicación de los

Bancos. Las condiciones de la Política o Aviso de Privacidad y sus modificaciones serán

aplicables mientras subsista el procesamiento de sus datos personales.

Así mismo, a través den nuestros formatos y contratos que usted suscribe, los Bancos

obtienen la aceptación sobre la política y aviso de privacidad, según estos constan

publicados.

¿Qué mecanismos de seguridad utilizamos para la protección

de los datos personales?

Los Bancos cuentan con mecanismos de seguridad técnicas y organizacionales para

asegurar la confidencialidad, integridad, y disponibilidad de sus datos personales:

• Gobierno y Sistema de Control: una estructura de gobierno para la gestión y

seguridad de la información y la protección de datos personales, que incluye

gestión de los riesgos asociados, el cumplimiento normativo, la administración

de políticas, procedimiento y controles relacionados.

• Roles y Responsabilidades: la asignación y documentación de funciones y

responsabilidades en materia de seguridad de la información y protección datos

personales, incluyendo roles clave como oficial de seguridad y oficial de

protección de datos.

• Evaluación periódica de los riesgos en materia de seguridad de la información,

así como de la efectividad de los controles asociados.

• Lineamientos y conductas contenidos en Códigos, Manuales y Políticas

aplicables a todos los colaboradores, en materia de uso, privacidad y

confidencialidad de la información, para asegurar el cumplimiento efectivo de

sus obligaciones en materia de seguridad de la información y protección de

datos personales.

• Programas de formación y sensibilización obligatoria a todos los colaboradores,

para asegurar el desarrollo de una cultura en materia de seguridad de la

información y protección de datos personales.

• Identificación y clasificación de los usos de Activos de Información,

manteniendo actualizado un inventario que detalla para que se usa la

información, clasificación taxonómica, frecuencia del uso, acciones sobre la

información, contenedor donde se almacena, si esta es compartida con terceros,

medios por los que se comparte, sus niveles de criticidad con sus respectivas

valoraciones de la confidencialidad, integridad y disponibilidad de la

información.

• Control de Accesos a los aplicativos y sistemas que contienen información,

basado en principios de menor privilegio, restricciones según funciones del

cargo, uso de usuarios, claves y contraseñas individuales de carácter complejo;

así como bloqueo en caso de varios intentos inválidos, y revocatoria de acceso

ante terminaciones o cambio de funciones.

• Controles para el monitoreo de las acciones de los usuarios sobre la información

en los diferentes sistemas.

• Encriptación de los datos tanto en tránsito como también los datos

almacenados, mediante diversas codificaciones las cuales se mantienen

actualizadas, monitoreando sus garantías de seguridad en el mundo.

• Medidas de seguridad para acceso a redes a través de firewalls, Antivirus, Data

Loss Prevention (DLP), Sistema de prevención de intrusos (IPS), Proxys, Multi

Factor de Autenticación (MFA), VPN y políticas de contraseña robustas.

• Intercambios de información mediante protocolos seguros como SFTP, Sistemas

de archivos IFS bajo las condiciones de transferencias establecidas por el Banco.

• Medidas de seguridad física, a través de controles de acceso a las instalaciones

donde se procesan y custodian los datos, así como sistemas y herramientas para

la protección contra disrupciones de la operación debido a inconvenientes con

el suministro de energía, y eventos como fuego, inundaciones, entre otros.

• Procesos para la de recuperación de datos, a través redundancias, copias o back

ups de la información en servidores, nubes e infraestructuras de contingencias.

• Procesos de revisión y actualización de medidas de seguridad, como la

instalación de parches de seguridad, monitoreo de vulnerabilidades, monitoreo

de amenazas cibernéticas en el mundo.

• Medidas de segmentación de redes para evitar el acceso no autorizados a

canales y sistemas.

• Procesos de selección de proveedores y contratistas que consideran la

evaluación de prácticas de seguridad y privacidad de datos.

• Obligaciones de proveedores y contratistas en materia de uso de información y

protección de datos personales, integradas formalmente en contratos.

• Respuesta a incidentes de seguridad y notificación de incidentes de seguridad,

cuanto tengamos conocimiento acerca del acceso, uso o procesamiento no

autorizado o fraudulento, pérdida o destrucción de sus datos personales, que

representen un impacto material o significativo.

¿Con quiénes se comparten los datos personales?

Los Bancos comparten datos personales con los siguientes destinatarios o categorías

de destinatarios: titulares y sus representantes autorizados, terceros autorizados por

los clientes, autoridades gubernamentales, proveedores, consultores, aliados

estratégicos, contrapartes, corresponsales y entidades del Grupo Bancolombia.

¿Cuáles son las condiciones para la transferencia de datos

personales a otros países?

Los Bancos podrán transferir datos personales a un tercer país o jurisdicción cuando

estos apliquen estándares equivalentes en materia de protección de datos personales.

También podrán transferir datos personales a países que no apliquen estándares

equivalentes, cuando el titular haya otorgado su consentimiento; cuando la

transferencia de datos sea necesaria para la celebración, ejecución o cumplimiento de

un contrato, celebrado o por celebrar por el cliente o en interés de este; cuando se

trate transferencias bancarias, dinerarias o del mercado de valores; cuando la

transmisión sea requerida en cumplimiento de acuerdos internacionales ratificados por

la República de Panamá; cuando la transferencia sea necesaria para propósitos

relacionados con un proceso legal, o la obtención de asesoría legal, y en general para

la defensa de derechos legales, cuando la transferencia se realice a cualquier entidad

del Grupo Bancolombia, siempre que los datos personales sean utilizados para las

propósitos o finalidades legítimas especificadas en las políticas, contratos o formatos

de consentimiento de las entidades del Ecosistema de Bancos Internacionales, y para

propósitos o finalidades compatibles con aquellas.

¿Cuál es la fuente de procedencia de los datos personales?

Los datos personales que los Bancos procesan son obtenidos de distintas fuentes,

incluyendo la siguiente: la información suministrada por el titular o sus representantes

autorizados, a través de formatos, durante la interacción presencial, telefónica, por

correos electrónicos, correspondencia u otros medios de comunicación; la información

recopilada cuando el titular interactúa con los Bancos para el uso de sus productos,

servicios y canales, incluyendo información sobre el computador o dispositivo móvil

del titular. Así mismo, los Bancos obtienen información de terceros, que el titular haya

autorizado les sea compartida, o se encuentre disponible en fuentes públicas de

información.

Al entregar datos personales de un tercero, incluyendo sus relacionados, usted debe

tener autoridad para obtener, entregar y autorizar el procesamiento de datos

personales de dicho tercero, de acuerdo con las condiciones previstas en la presente

Política o Aviso de Privacidad. Así mismo, en estos casos, usted deberá informar al

titular de los datos sobre el contenido de la presente Política o Aviso de Privacidad, y

demás disposiciones relacionadas, contenidas en nuestros formatos y contratos.

Los Bancos también pueden obtener datos personales a través de la adquisición de

bases de datos de terceros. En estos casos, los Bancos evaluarán la idoneidad del

proveedor, así como confiabilidad y calidad de la base de datos.

¿Cuáles son los derechos de los titulares de datos personales?

Los titulares de datos tienen derecho a que los Bancos atiendan, de forma gratuita, y

dentro de los plazos previstos en las normas, sus solicitudes de acceso, rectificación,

cancelación, oposición y portabilidad (ARCO) con respecto a sus datos personales. Los

Bancos también atenderán las consultas, reclamaciones o quejas del titular, relacionada

con la atención de sus requerimientos ARCO.

El titular de datos personales que considere que sus solicitudes ARCO no fueron atendidas

satisfactoriamente, podrá presentar reclamo ante la Superintendencia de Bancos de

Panamá, por cualquier queja o controversia vinculada con la protección de sus datos.

A continuación, se describe el alcance de los derechos ARCO:

• Acceso: derecho a obtener información sobre los datos personales, procesados

por los Bancos, así como a obtener la información contenida en el presente

Aviso, tales como, la fuente de obtención de sus datos personales, las categorías

de datos personales procesados, las finalidades o propósitos para los cuales

estos son procesados, los destinatarios o categorías de destinatarios de los

datos personales, los criterios utilizados para determinar el plazo de

conservación de los datos personales, entre otros.

El derecho de acceso no aplicará, cuando el solicitante no sea el titular de los

datos personales, o el representante no esté debidamente autorizado para ello;

o cuando en nuestras bases de datos, no se encuentren los datos personales del

cliente; o, cuando los datos o la información referida al cliente y a sus

relacionados, sean el resultado de un procesamiento realizado por nosotros, con

la finalidad de llevar a cabo planes de negocio, estrategias y administración, y

cuyo acceso pueda perjudicar el desempeño o desarrollo de nuestras

actividades. Por ejemplo; evaluaciones, investigaciones, análisis o estudios que

puedan involucrar un cliente.

• Rectificación: derecho a la corrección de datos personales incorrectos,

irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes. Las

solicitudes de rectificación deberán indicar los datos objeto de rectificación, la

corrección que debe realizarse, y estar acompañadas de la documentación que

sustente la inexactitud o el carácter incompleto. En la medida en que no requiera

un esfuerzo desproporcionado, se informara a los terceros destinatarios de los

datos sobre su rectificación.

• Cancelación: derechos a obtener la cancelación de datos personales cuyo

tratamiento no sea necesario para las finalidades legítimas o cuyo tratamiento

dependa del consentimiento y este haya sido revocado. No procederá la

cancelación con respecto a datos personales cuyo procesamiento se realice en

cumplimiento de una obligación legal o contractual, en virtud de políticas

internas en materia de conservación de datos, en virtud de la satisfacción de

intereses legítimos, o en virtud de una autorización legal. Las solicitudes de

cancelación deberán indicar los datos objeto de cancelación, y estar

acompañadas de la documentación que sustente la cancelación. En la medida

en que no requiera un esfuerzo o desproporcionado, se informara a los

destinatarios de los datos sobre su cancelación.

• Oposición: derecho a oponerse o revocar su consentimiento para el

procesamiento de datos personales. Los Bancos no podrán atender la revocatoria

y continuarán con el procesamiento de datos personales, cuando exista una

condición legítima distinta al consentimiento, para continuar el procesamiento.

• Portabilidad: derecho a recibir datos personales que los Bancos hayan obtenido

directamente del titular, de forma estructurada, en formato genérico, y de uso

común, siempre que sea técnicamente posible y a través de medios seguros e

interoperables. Los datos podrán ser transmitidos directamente al titular o a

favor otro responsable de datos que el titular autorice. El derecho a la

portabilidad estará sujeto al desarrollo de estándares de portabilidad por parte

de la Superintendencia de Bancos de Panamá, y no incluye la transmisión de

información inferida, derivada, creada, generada a partir de análisis o

tratamiento de datos realizado por los Bancos.

Condiciones para el ejercicio de derechos ARCO

El carácter gratuito de la atención de estos requerimientos podrá tener las limitaciones que

establezcan las normas aplicables a la materia. El derecho a la atención de estos

requerimientos es irrenunciable y solo podrá ser limitado por norma.

Los titulares o sus representantes autorizados podrán dirigir sus requerimientos ARCO, así

como las solicitudes, reclamaciones o quejas asociadas, a los Bancos o al Oficial de

Protección de Datos, a las direcciones de contacto establecidas en este Aviso.

Para atención de consultas o solicitudes sobre tus derechos ARCO

Puedes contactarnos a través de: oficialdeprotecciondatos_panama@bancolombia.com.co

Tabla de modificaciones y aprobaciones:

Versión

Motivo

Elaborado por

Comité de

Auditoria

Fecha

V 1.0

Creación

Gerencia de Jurídico

Junta Directiva

Bancolombia, S.A.

Noviembre 2023