1. INTRODUCCIÓN

Para efectos de esta política, cuando hablamos de GetXerpa, nos referimos a cualquiera de las sociedades de grupo, esto es, Millennial Fintech Services Mexico, S.A.P.I DE C.V. (constituida en la República de México) ; Millennial Fintech Services Chile SpA (constituida en la República de Chile); Millennial Fintech Services LLC (constituida en el Estado de Delaware, EE.UU) ; y Millennial Fintech Services, INC (constituida en el Estado de Delaware, EE.UU) en su deber como responsable del tratamiento de datos personales y en cumplimiento de la regulación que le es aplicable para la protección de datos personales, ha definido y adoptado la presente Política corporativa de tratamiento de datos personales. Ésta recoge los lineamientos para garantizar el habeas data y las directrices para el tratamiento de los datos personales de los cuales es responsable para asegurar una adecuada gestión.

2. OBJETIVO

La presente Política tiene como objetivo establecer las directrices generales que se deben tener en cuenta para garantizar la adecuada gestión del tratamiento de los datos personales dando cumplimiento a la regulación que le es aplicable en cada país donde opera; en el cumplimiento de esta Política, GetXerpa está encaminado al correcto uso y tratamiento de los datos personales contenidos en sus bases de datos y/o archivos, evitando el acceso no autorizado a terceros internos o externos a la empresa que puedan conocer o vulnerar, modificar, divulgar y/o destruir la información que allí reposa.

De igual manera, tiene como objetivo informar cómo GetXerpa recolecta y trata la información personal de todos sus grupos de interés: clientes, usuarios, colaboradores, proveedores, accionistas, aliados, entre otros.

3. ALCANCE

La Política de tratamiento de datos personales cubre todos los aspectos administrativos, organizacionales y de control. Aplica a los datos personales que se almacenan en bases de datos y/o archivos que se encuentren en poder de GetXerpa. La presente Política es obligatoria para todos los colaboradores y terceros relacionados con GetXerpa (clientes, usuarios, proveedores, accionistas, aliados, entre otros) que laboren y tengan relación directa o indirecta con la empresa y acceso a información a través de documentos, equipos de cómputo, infraestructura tecnológica y canales de la entidad.

4. DEFINICIONES

Autorización: es el consentimiento previo, expreso e informado que otorga el titular del dato para llevar a cabo el tratamiento de datos personales. La forma en la que es expresada dicha autorización es almacenada por parte de GetXerpa o terceros proveedores de esta.

Aviso de privacidad: comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Base de datos: conjunto organizado de datos personales objeto de tratamiento.

Causahabiente: es la persona que ha sucedido a otra, en razón a su fallecimiento (también se pueden entender como herederos o legatarios).

Consentimiento: expresión de la manifestación de la voluntad por parte del titular de datos.

Confidencialidad: propiedad de prevenir el acceso a personas no autorizadas o limitarlo a personas que por su función lo requieran con el fin de minimizar la divulgación de información a personas no autorizadas

Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables y la cuál puede identificarla. Por ejemplo: nombre, dirección, número de teléfono, correo electrónico, estado civil, entre otros.

Dato privado: es aquel dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información.

Dato público: dato que la regulación determina como tal, así como todos aquellos que no sean semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva.

Dato semiprivado: es aquel dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas.

Dato sensible: es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del tratamiento o procesador de los datos: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento.

Información personal: cualquier información que puede ser utilizada para identificar a una persona específica o cualquier información anónima (por ejemplo, la dirección IP) que está vinculada a una persona específica (cliente, comercio, consumidor, tarjetahabiente, proveedor o aliado comercial).

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, determina los propósitos y medios del procesamiento de datos personales y/o en estricto sentido realiza el tratamiento de datos personales. 

Titular: persona natural cuyos datos personales son objeto de tratamiento. Para GetXerpa son titulares de la información los clientes, usuarios, colaboradores, proveedores, aliados, accionistas, visitantes, nuestros grupos de interés y cualquier otra persona natural cuyos datos sean objeto de tratamiento por GetXerpa, ya sea directa o indirectamente. En el caso de menores de edad, sus representantes legales tendrán la facultad de autorizar o no el tratamiento de sus datos personales.

Transferencia de datos: tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento.

Transmisión de datos: tratamiento de datos personales que implica la comunicación de estos, con el objeto de que un encargado realice tratamiento por cuenta del responsable.

Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

5. PRINCIPIOS RECTORES DEL TRATAMIENTO DE DATOS PERSONALES

GetXerpa se compromete con los titulares a tratar sus datos personales de conformidad con los siguientes principios:

Principio de legalidad en materia de tratamiento de datos: GetXerpa trata los datos acorde con la regulación aplicable.

Pueden existir bases legales adicionales para el tratamiento de información personal en algunos países. Lo anterior depende de la normativa aplicable y de los productos y servicios que sean ofrecidos.

La información personal es tratada solo si GetXerpa está autorizada válidamente para hacerlo, por lo que se solicita el consentimiento explícito si la legislación vigente así lo exige. 

Principio de finalidad: GetXerpa, previamente autorizado por el titular, tratará los datos con un fin legítimo, de acuerdo con la regulación que le es aplicable, la cual es informada al titular.

Principio de libertad: GetXerpa trata los datos sólo con el consentimiento previo, expreso e informado del titular. Los datos personales no deben ser obtenidos o divulgados sin autorización previa o en ausencia de mandato legal o judicial.

GetXerpa solicita la autorización de manera que el titular de la información otorgue su consentimiento previo, expreso e informado del tratamiento al cual son sujetos sus datos personales.

En la medida de que la legislación de cada país lo permita, la autorización también puede obtenerse a partir de conductas inequívocas del titular del dato, las cuales permitan concluir de manera razonable que éste otorgó su consentimiento para el tratamiento de su información. Dichas conductas deben exteriorizar de manera clara la voluntad de autorizar el tratamiento.

El consentimiento del titular se puede obtener por cualquier medio, siempre y cuando la legislación de cada país lo permita, que pueda ser objeto de consulta posterior y de acuerdo con los medios autorizados por cada una de las legislaciones de los países en los que son tratados los datos. En virtud de su naturaleza y objeto social, GetXerpa recibe, recolecta, registra, conserva, almacena, elabora, modifica, reporta, consulta, entrega, transmite, transfiere, comparte y elimina información personal, para lo cual obtiene la previa autorización del titular.

GetXerpa conserva prueba de dichas autorizaciones de manera adecuada, velando y respetando los principios de privacidad y confidencialidad de la información.

De conformidad con la regulación aplicable a GetXerpa, la autorización del titular no es necesaria cuando se trate de:

• Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial

• Datos de naturaleza pública

• Casos de urgencia médica o sanitaria

• Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos

• Datos relacionados con el registro de nacimiento de personas

En virtud de lo anterior, GetXerpa puede obtener autorización del titular de los datos a través de diferentes medios, tales como, autorización verbal, escrita, sea esta última otorgada por canales físicos o virtuales diseñados para tal fin.

Principio de veracidad o calidad: la información que sea objeto de tratamiento debe ser veraz, completa, actualizada, comprobable y comprensible. En GetXerpa está prohibido el tratamiento de datos fraccionados o que induzcan a error.

Principio de transparencia: GetXerpa conoce que los titulares de los datos tienen derecho a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

Principio de acceso y circulación restringida: el tratamiento está sujeto a los límites derivados de la naturaleza de los datos personales, de acuerdo con lo dispuesto en la regulación.

En este sentido, el tratamiento sólo puede hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Con excepción de la información pública, GetXerpa no pone a disposición los datos personales en internet u otros medios de divulgación o comunicación masiva, salvo si el acceso es técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley.

GetXerpa garantiza que el titular de los datos puede acceder a su información personal, para que pueda ejercer su derecho a modificarla, corregirla, actualizarla, suprimirla o negarse a que la misma sea objeto de tratamiento, en los términos aplicables de acuerdo a la legislación aplicable en su país.

De igual forma, el titular de los datos puede ejercer los derechos antes descritos, salvo que GetXerpa deba retener la información personal para cumplir sus obligaciones legales o por mandato de una orden judicial o de autoridad competente.

Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente Política, se puede manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Principio de intimidad y buen nombre: la información sujeta a tratamiento por parte del responsable del tratamiento o encargado del tratamiento debe ser valorada dentro de los cánones del respeto a la intimidad y el buen nombre de los titulares del dato, siendo prohibido el tratamiento de datos que vulneren sus postulados, exceptuando permitido por la ley.

Principio de pertinencia de los datos: únicamente se tratan los datos que sean adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan.

Principio de rendición de cuentas: la rendición de cuentas exige la aplicación activa por parte de los responsables del tratamiento de medidas que promuevan y garanticen la protección de datos en sus actividades de tratamiento.

6. RESPONSABLE DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

Como responsable del tratamiento de los datos personales, el titular reconoce que la empresa responsable del tratamiento corresponderá a la sociedad (del grupo de empresas GetXerpa) del país en el que se encuentra el titular de los datos o en su defecto, a la sociedad con la que se presenta vínculo contractual.

GetXerpa ha designado a un Oficial de Protección de Datos (el cual se designará una vez que entre en vigencia la ley N° 21.719) para que asuma la función de la protección de los datos personales, el cual debe velar por el cumplimiento de la presente Política y de los documentos asociados.

Como principal función está la de diseñar, construir, organizar, implementar, gestionar y actualizar constantemente el programa integral de gestión de datos personales al interior de la organización, que le permita a GetXerpa cumplir con la normativa sobre protección de datos personales, así como establecer los controles, evaluación y revisión permanente.

7. TRATAMIENTO DE LOS DATOS PERSONALES

   1. Información personal y tipos de información personal recolectada

Dependiendo de la manera en que el titular del dato interactúe con GetXerpa, bien sea en línea, llamada telefónica o de forma presente, se puede recolectar, usar, recibir, almacenar, analizar, transferir o tratar de modo adecuado las distintas categorías de información personal.

La información personal que se puede recolectar es:

• Información de identidad y acceso a la cuenta: nombre completo, cargo, número de identidad y fecha de nacimiento.

• Información de contacto: número de teléfono, dirección postal, país, correo electrónico y dirección de facturación elegida.

• Información financiera: datos de cuenta bancaria, información de tarjeta de crédito o débito.

• Información de pagos (información de transacciones): números de cuentas personales, nombres en la tarjeta de crédito, nombre e identificadores del comercio, fecha y monto de la transacción y otra información directamente proporcionada por titulares, bancos comercios.

• Información técnica y de uso: las direcciones IP, el tipo y la versión del navegador, los sistemas operativos, configuración de la zona horaria, la información de geolocalización, el contenido y las páginas a las que accede desde nuestro(s) sitio(s) web, aplicaciones o plataforma, las rutas de acceso utilizadas.

• Información sobre créditos y préstamos: información financiera (por ejemplo, calificación crediticia) e información sobre ingresos (por ejemplo, contrato laboral).

• Información de mercadeo y comunicaciones: la comunicación con el servicio de atención al cliente, datos comportamentales (por ejemplo, aquellos recolectados por medio de cookies), información sobre promociones, encuestas, campañas promocionales y registros sobre su decisión de suscribirse o cancelar suscripciones a material de mercadeo.

• Información de antecedentes laborales y de estudios: corresponde a la información laboral, de carácter académico y relacionada.

Es importante mencionar que la información personal no incluye:

• Información que ha sido acumulada o que ha sido hecha anónimamente de tal forma que no puede ser asociada con una persona natural específica (datos estadísticos o demográficos).

• La información personal que se encuentra en fuentes de acceso público, cuentas como, pero sin limitarse a, registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no están sujetas a reserva. La información personal que se encuentra en fuentes de acceso público, con independencia del medio por el cual se tenga acceso a dicha fuente, puede ser tratada por cualquier persona siempre y cuando, por su naturaleza, sea información de naturaleza pública.

• Cuando en los sitios web o aplicaciones de GetXerpa contengan enlaces a sitios web, como complementos y aplicaciones de terceros (incluidas cookies, tecnologías de rastreo y widgets de terceros anunciantes), al acceder a esos enlaces o conexiones, el titular del dato puede estar permitiendo que terceros, diferentes a GetXerpa, recolecten o compartan sus datos. GetXerpa no tiene control sobre los sitios web de terceros y no asume responsabilidad alguna por el tratamiento que en ellos se le de a la información personal que este suministrando a dichos terceros.

GetXerpa no recolecta información personal o datos sensibles tales como información detallada sobre raza, etnia, credo religioso o filosófico, vida sexual, orientación sexual, opiniones políticas, afiliación sindical e información biométrica y genética.

2. Recolección de información personal

GetXerpa en general trata o recauda información personal de las siguientes formas:

• Cuando es suministrada directamente a GetXerpa a través de nuestro sitio web, software, aplicaciones u ofertas de productos o servicios, para celebración de contratos con empleados, proveedores de servicios.

• Cuando GetXerpa obtenga información de verificación acerca del titular del dato a través de terceras partes autorizadas para tal efecto o si esta disponible al público según lo permita la legislación vigente, incluida información de:

  • Plataformas y redes sociales cuando se tiene la autorización.

  • Instituciones financieras y agencias de prevención del fraude para efectos de realizar evaluaciones o análisis de riesgo y fraude.

  • Terceros con los que se haya celebrado contratos para el apoyo a operaciones de la empresa.

  • Fuentes de acceso público de conformidad con la legislación vigente en el país.

  • Agencias o centrales de referencia crediticia, operadores de información financiera o bancos de conformidad con la legislación vigente.

• Pasivamente a través de nuestra tecnología tal como, pero sin limitarse a las cookies, web beacons y técnicas similares.

  • Cookies:

    • Así como en otras páginas web de carácter comercial, GetXerpa utiliza cookies y otras tecnologías para recordar información que no se puede asociar a una persona natural específica, por lo cual no es tratada por GetXerpa como información personal.

    • Las cookies son pequeños archivos con datos que se almacenan en el navegador del dispositivo del usuario cuando visita una página web. Este fichero almacena cierta información sobre el usuario, como su comportamiento, hábitos de navegación en internet o las credenciales de acceso del usuario.

    • Las cookies de internet pueden tener diversas funciones, pero de forma general puede decirse que sirven para que el servidor de una página web pueda identificar el equipo de un usuario y recuerde datos importantes, básicamente quién es el usuario y qué ha hecho anteriormente en la web, haciendo que la experiencia en línea sea más fácil y más personalizada.

    • La información recopilada a través de cookies y de los archivos bitácora de los servidores web podría incluir información tal como, pero sin limitarse a la fecha y la hora de las visitas, las páginas que fueron vistas, las direcciones IP, los vínculos a/desde cualquier página y el tiempo de estadía en la página web.

    • Esta información se usa para poder diseñar y mostrar el sitio web de manera óptima de acuerdo a las preferencias del usuario. En este sentido, en el dispositivo del usuario solo se identifica la cookie. Aparte de esto, los datos personales del usuario únicamente se guardan con el consentimiento expreso o cuando sea estrictamente necesario para poder usar el servicio que se le ofrece y al que accede por consiguiente.

  • Web beacons
    

• Un Web beacon es una imagen electrónica, también llamada single-pixel (1 x 1) o pixel transparente, que es colocada en código de una página Web. Un web beacon tiene finalidades similares a las cookies. Adicionalmente un web beacon es utilizado para medir patrones de tráfico de los usuarios de una página a otra con el objeto de maximizar como fluye el tráfico a través de la web.

• Se aclara expresamente que esta política cubre la utilización de cookies en los sitios web de GetXerpa y no la utilización de cookies por parte de anunciantes. GetXerpa no controla el uso de cookies por terceros.

• Para este efecto, se contempla un procedimiento para el uso de las cookies en cada uno de los sitios web o aplicaciones relevantes de GetXerpa y las posibilidades que el usuario como visitante a cada Sitio web o Aplicación tiene respecto al uso de las mismas.

3. Tratamiento de datos sensibles

GetXerpa tiene las siguientes consideraciones para el tratamiento de datos sensibles:

• Para el tratamiento de este tipo de información el titular no está obligado a dar su autorización o consentimiento.

• Se informa de forma explícita y previa qué tipo de datos sensibles serán solicitados y sobre la posibilidad de darlos o negarse a suministrados.

• Se comunica al titular de los datos el tratamiento y la finalidad que se le dará a los datos sensibles.

• La autorización de los datos sensibles es previa, expresa y clara.

4. Datos de niños, niñas y/o adolescentes

GetXerpa se asegura que el tratamiento de este tipo de datos se realice de conformidad con los derechos de los niños, niñas y adolescentes menores de edad. En este sentido, se protege su carácter especial y vela por el respeto de sus derechos fundamentales, conforme la regulación vigente en cada país.

Para efectos de cumplir lo anterior, GetXerpa actúa de conformidad con lo siguiente:

• GetXerpa no recolecta, usa, ni revela voluntaria o activamente información personal de menores de edad, de conformidad con la edad mínima equivalente en la jurisdicción correspondiente, sin el consentimiento previo de los padres o tutores del niño, niña o adolescente y ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, a efectos de realizar el tratamiento de sus datos personales.

• Se informa de forma explícita y previa cuáles son los datos objeto de tratamiento y la finalidad de éste.

• Los servicios de GetXerpa no están destinados, ni diseñados para el uso por parte de menores de edad.

• Si se detecta que se ha recolectado información personal de un menor de edad sin antes obtener el consentimiento de los padres y que se pueda verificar, se adoptaran medidas para eliminar la información en el menor tiempo posible.
  

5. Finalidad de tratamiento de la información

GetXerpa previamente autorizado por el titular, trata los datos con un fin legítimo, de acuerdo con la regulación que le es aplicable, la cual es informada al titular, entre otros, para:

• Dar cumplimiento a las obligaciones legales que le son exigibles a GetXerpa.

• Los intereses legítimos de GetXerpa o de un tercero, por el ejercicio de su función o el cumplimiento de su mandato, asegurando que sus derechos fundamentales prevalezcan sobre los intereses legítimos de GetXerpa.

• El cumplimiento de un contrato establecido de manera directa o indirecta, cuando sea exigible.

• Actualizar las relaciones contractuales vigentes y dar cumplimiento a las obligaciones pactadas.

• Comercializar los productos y servicios de GetXerpa.

• Procesos de selección de trabajadores, proveedores y procesos de registro de clientes.

• Análisis de datos y realización de informes.

• Realizar actividades de mercadeo y comunicación. Esta finalidad esta sujeta a las leyes aplicables del país donde se realice la actividad de mercadeo y comunicación. Así mismo, de acuerdo con las regulación aplicable en cada país, es posible que se exija la aceptación antes de recibir comunicaciones publicitarias de GetXerpa.

• GetXerpa puede realizar estas actividades de mercadeo directamente o a través de promotores.

• Efectuar investigaciones, desarrollar y mejorar nuestros productos y servicios.

• Consultar, reportar y actualizar sus datos ante los operadores de información y riesgo.

• Manejar la relación con nuestros grupos de interés.

• Para cualquier otro fin legítimo autorizado por el titular de datos.

6. Retención de la información

GetXerpa puede almacenar la información personal durante el tiempo específico que sea necesario para el cumplimiento de las finalidades para las cual se recolectó.

Así mismo, la retención de información personal por parte de GetXerpa se determina considerando el cumplimiento de las obligaciones legales (contractuales o reglamentarias), contables y de elaboración de reportes de cumplimiento y los plazos establecidos por las leyes de privacidad de datos en cada país, donde GetXerpa presta sus servicios.

En todo caso, la retención de la información no será menor a 10 años de acuerdo a la naturaleza del negocio de GetXerpa.

8. DERECHOS DE LOS TITULARES DE DATOS PERSONALES

Conforme a las leyes de privacidad y protección de datos, los titulares de los datos personales ejercen sus derechos a:

• Acceder a los datos personales: tienen derecho a preguntar si tratamos la información personal y pueden solicitar que se entregue información detallada sobre su información personal que tratamos, acorde con las leyes aplicables en cada país.
  

• Rectificar o corregir los datos personales: en cualquier momento pueden solicitar la corrección o cambio de su información personal tratada de manera incorrecta.

• Eliminar datos personales: pueden solicitar eliminar o borrar información personal cuando la información deja de ser necesaria para aquellos efectos para los cuales se recolectó, lo cual estará sujeto a las obligaciones legales locales de retención de datos.

GetXerpa se reserva el derecho de conservar cierta información personal o de no eliminarla por solicitud del titular en los casos en que eliminarla implique un esfuerzo técnico desproporcionado (por ejemplo, tener que desarrollar un programa o software para poder eliminar la información personal) o pueda poner en peligro la información personal de otros usuarios, caso en el cual será puesto en pleno conocimiento del titular.

La solicitud de eliminar o borrar datos personales no procede cuando los titulares tienen el deber legal o contractual de permanecer en la base de datos de GetXerpa.

• Revocar el consentimiento: puede retirar el consentimiento de tratamiento que haya otorgado y evitar su tratamiento posterior, si no existen otras razones legales para el tratamiento de la información personal.

La solicitud de revocar datos personales no procede cuando los titulares tienen el deber legal o contractual de permanecer en la base de datos de GetXerpa.

• Limitar el tratamiento de los datos personales: puede exigir que se limite el tratamiento de determinada información personal en ciertas circunstancias, como una objeción al tratamiento dado por GetXerpa a la información personal basada en nuestros intereses legítimos.

• Solicitar la portabilidad de datos: puede solicitar que se transmita a un tercero la información personal que ha proporcionado, en un formato de lectura mecánica.

• Objetar la toma de decisiones automatizada, incluyendo la caracterización, si tales decisiones tienen un efecto legal como titular de la información personal. Podrá igualmente objetar, entre otros, en los siguientes casos: i) Si el tratamiento afecta sus derechos y libertades fundamentales; ii) Si el tratamiento se realiza con fines de marketing directo de bienes, productos o servicios; iii) Si el tratamiento se realiza respecto de datos obtenidos de una fuente de acceso público y no exista otro fundamento legal para su tratamiento.

• Presentar solicitudes y reclamos: puede presentar solicitudes y reclamos sobre el tratamiento que realizamos con la información personal directamente a GetXerpa, el regulador de protección de datos o la autoridad competente, según aplique en cada país.

GetXerpa busca proporcionar una asistencia razonable para atender las solicitudes de los titulares sobre el tratamiento de información personal y los derechos sobre ésta, en los términos aplicables de acuerdo a la legislación de cada país.

El ejercicio de los derechos mencionados anteriormente puede ejercerse por las siguientes personas:

• Por el titular, quien debe acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

• Por sus causahabientes, quienes deben acreditar tal calidad.
  

• Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.

• Por estipulación a favor de otro o para otro.

• Los derechos de los niños, niñas o adolescentes se ejercen por las personas que estén facultadas para representarlos.

9. DEBERES DE GetXerpa

Como responsable y/o encargado del tratamiento de datos personales almacenados en sus bases de datos, GetXerpa se compromete a:

• Garantizar al titular de los datos personales el pleno y efectivo ejercicio de sus derechos.

• Solicitar y conservar copia de la autorización dada por el titular o prueba de ésta.

• Informar al titular sobre las finalidades de la recolección, los usos de sus datos personales y sus derechos en razón a la autorización dada.

• Conservar la información en condiciones de seguridad para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Eliminar de forma segura los datos personales que por cualquier razón ya no tenga fundamento lícito para ser mantenida en custodia.

• Garantizar que la información suministrada a terceros o encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

• Actualizar la información que tenga algún tercero o encargado, respecto de todas las novedades en relación con los datos suministrados y adoptar las medidas necesarias para que la información esté actualizada.

• Velar por que los terceros y/o encargados del tratamiento de la información personal de la cual GetXerpa es responsable cuenten con medidas y políticas efectivas para garantizar el adecuado tratamiento y, las condiciones de seguridad y privacidad de los datos compartidos con éstos, acogiendo como mínimo el mismo nivel de protección adoptado por GetXerpa.

• Rectificar la información cuando tenga conocimiento de que ésta es incorrecta.

• Darle trámite a las consultas y reclamos formulados de conformidad con lo previsto en la presente Política y en la ley.

• Informar a la autoridad de protección de datos cuando se presenten violaciones de seguridad y existan riesgos en la administración de la información de los titulares.

• Anonimizar los datos personales de los titulares, siempre que sean clasificados como sensibles.

10. PROCEDIMIENTO DE CONSULTAS, QUEJAS Y RECLAMOS

Los titulares de los datos personales pueden presentar consultas, quejas o reclamos, a través de los canales definidos en el numeral 11 de la presente Política de tratamiento de datos personales denominado Canales de atención de consultas, quejas y reclamos. Los titulares deben seguir los siguientes procedimientos:

1. Consultas

Los titulares, sus causahabientes o cualquier otra persona que pueda tener un interés legítimo, pueden solicitar que se les informe sobre los datos personales del titular que se encuentren almacenados en cualquier base de datos de GetXerpa.

De acuerdo con lo anterior, GetXerpa garantiza el derecho de consulta, dándole a conocer la información personal vinculada al titular.

Las consultas que versen sobre temas de acceso a la información, constancias de la autorización otorgada por el titular, usos y finalidades de la información personal o cualquier otra consulta relacionada con la información personal entregada por parte del titular, deben presentarse a través de los canales habilitados por GetXerpa.

2. Quejas / Reclamos

Los titulares, sus causahabientes o cualquier otra persona con un interés legítimo, que considere que la información contenida en alguna de las bases de datos de GetXerpa deba ser objeto de corrección, actualización o supresión, o que adviertan un posible incumplimiento de los deberes establecidos en la presente Política o en la ley, podrán presentar un reclamo.

El reclamo se formula mediante solicitud dirigida a GetXerpa, teniendo en cuenta los siguientes requisitos:

• Identificación del titular o de quien está presentando la reclamación, señalando su nombre y número de identificación.

• Descripción del motivo que da lugar al reclamo de forma clara y expresa, donde se establezcan los hechos que originaron el mismo, acompañando los documentos que se quiere hacer valer.

• Acreditación del interés legítimo con el que actúa quien presenta el reclamo y adjuntando, en caso de ser necesario, los soportes correspondientes.

• Señalar el teléfono, la dirección física o electrónica a la que se deba notificar y remitir la respuesta de la solicitud.

Procedimiento:

• Si el reclamo resulta incompleto, se requerirá al interesado para que subsane las fallas. Si transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, GetXerpa entenderá que ha desistido del reclamo.

• En el caso de que quien reciba el reclamo presentado no sea competente para resolverlo, se dará traslado a quien corresponda en un término máximo de dos (2) días hábiles y se informará de esta situación al interesado.

• Cuando el reclamo sea recibido completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de éste.

• Los titulares, sus causahabientes o cualquier otra persona con un interés legítimo, pueden presentar queja ante las autoridades competentes en cada país, pero sólo una vez hayan agotado el trámite de consulta o reclamo ante GetXerpa, como responsable y/o cualquier encargado.
  

Para los casos en que se reciba solicitudes de supresión de la información y/o de revocatoria de la autorización, GetXerpa, ha adoptado un proceso interno y actuará de conformidad con éste.

11. CANALES DE ATENCIÓN DE CONSULTAS, QUEJAS Y RECLAMOS

GetXerpa tiene habilitado los siguientes canales de atención, para que los titulares de los datos personales puedan ejercer sus derechos a conocer, actualizar, rectificar y/o suprimir su información personal:

• Correo electrónico: para realizar una reclamación y/o consulta acerca del manejo de datos personales y/o para realizar inquietudes sobre la presente Política de tratamiento de datos personales, los titulares de la información pueden hacerlo a través del correo electrónico: hola@getxerpa.com.

• Página web: en la página web de GetXerpa, el titular de la información puede adicionalmente conectarse con GetXerpa utilizando la opción “Enviar una solicitud” desde la sección “Contáctanos” que allí se encuentra, incluso para sugerencias, felicitaciones o solicitudes de información.

12. TRANSFERENCIA INTERNACIONAL Y TRANSMISIÓN DE DATOS PERSONALES

GetXerpa, como responsable de la información personal almacenada en sus bases de datos y en desarrollo de las finalidades descritas en la presente Política, puede eventualmente realizar transferencia o transmisión nacional o internacional de datos.

GetXerpa, en virtud de esta relación de intercambio, ha adoptado lineamientos con el fin de proteger la información objeto de esta actividad, como son de manera general:

• Verificar el nivel de los estándares de protección y seguridad del país receptor de la información personal, validando si éste se encuentra en la lista de países que ofrecen un nivel adecuado de protección de datos y en su defecto, se revisará la normativa vigente en el país receptor de la información.

• Suscribir un instrumento jurídico de transferencia que garantice la protección de los datos personales objeto de transferencia.

• Validar las políticas y procedimientos del encargado o responsable (según el caso que aplique), para determinar si cuenta con las condiciones idóneas para garantizar niveles adecuados de seguridad para la información objeto de transmisión o transferencia.

• GetXerpa puede almacenar información personal en uso que no esté en su control directo, por ejemplo, en servidores o bases de datos ubicadas con proveedores de alojamiento.

En todo caso, GetXerpa no transmitirá información a servidores ubicados en otros países, salvo que en esos países se proporcionen niveles adecuados de protección de información personal.

13. RELACIONAMIENTO CON TERCEROS Y/O ENCARGADOS DEL TRATAMIENTO DE LOS DATOS

En virtud de esta relación, GetXerpa ha adoptado diversos lineamientos para la relación con terceros, con el fin de proteger la información de la cual es responsable de su tratamiento, entre otros los siguientes:

• Velar porque los terceros con que se vincule, encargados del tratamiento de la información personal de la cual GetXerpa es responsable y/o establezca relaciones comerciales, laborales o alianzas, adecuen sus procesos de protección de datos personales a lo plasmado en la presente Política en concordancia con las regulaciones vigentes y particulares en cada país.

• Solicitar a terceros y/o encargados de la protección de datos información pertinente para verificar y observar el cumplimiento de las disposiciones contenidas en la presente Política y las regulaciones vigentes que le sean aplicables, para protección de datos personales, sin perjuicio de toda la documentación, modelos y medios previstos para la solicitud de la autorización para el tratamiento, los avisos de privacidad, registros y coberturas contractuales y/o legales.

• En este sentido, GetXerpa puede solicitar a terceros y/o encargados que acrediten, mediante certificación, de manera previa, durante o de forma posterior a la relación que los vincule, el cumplimiento de los requisitos del régimen de protección de datos personales, los cuales deben estar al menos al mismo nivel de protección adoptado por GetXerpa. Consecuentes con esto, GetXerpa puede solicitar una revisión y supervisión de forma eventual o periódica del cumplimiento de los requisitos legales y/o contractuales, mediante evidencias o soportes de la gestión realizada, realizar visitas a las instalaciones del tercero, entre otras actividades que podrán coordinarse para validar el cumplimiento.

• Contar con procedimientos para que una vez finalizada la relación legal o contractual con el tercero y/o encargado de la información personal, se recoja, elimine, destruya, o realice cualquier otra actividad que GetXerpa considere pertinente para dar un adecuado tratamiento a la información que hubiese sido compartida con dicho tercero y/o encargado.

14. SEGURIDAD DE LOS DATOS PERSONALES

GetXerpa maneja la información sujeta al tratamiento a que se refiere la ley, adoptando las medidas técnicas, humanas y administrativas que sean necesarias para mantener la confidencialidad y otorgar seguridad a la información personal para evitar su alteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, acorde con las exigencias y excepciones regulatorias en cada país.

Aunque ninguna transmisión de información puede garantizarse que sea 100% segura, GetXerpa y sus terceros proveedores adoptan las medidas de seguridad razonables y suficientes para proteger toda la información personal.

El acceso a la información personal es limitado (a través de credenciales de usuario/contraseña y sistemas de software) a aquellos empleados que lo requieren para realizar sus funciones laborales. Igualmente, se utiliza la codificación de Capa de Conexión Segura (SSL – Secure Socket Layer), estándar en la industria para salvar el proceso de suscripción de la cuenta y la información de apertura de cuentas. Otras medidas de seguridad incluyen, pero no se limitan a la codificación de datos, cortafuegos y controles físicos de acceso a edificios y a expedientes.

En el caso que se produzca violación de información personal, GetXerpa notifica al titular de los datos y al regulador o autoridad respectiva, en los casos que la regulación así lo exija.

GetXerpa revisa con regularidad las políticas en cuanto a la recolección, almacenamiento y tratamiento de la información personal, incluyendo las medidas de seguridad física para otorgar seguridad a la información personal.

Por todo lo anterior, GetXerpa no se hace responsable por interceptaciones ilegales o violación de los sistemas o bases de datos del titular de los datos personales por parte de personas no autorizadas, bien sea por no contar, entre otros, con adecuadas medidas de seguridad de sus dispositivos y/o para su acceso como tampoco se hace responsable por la indebida utilización de la información obtenida por esos medios.

15. CONFIDENCIALIDAD DE LOS DATOS PERSONALES

GetXerpa no vende, alquila, comparte o revela información personal excepto en las formas establecidas en esta política. Puede suceder que en virtud de órdenes judiciales, o de regulaciones legales, GetXerpa se vea obligada a revelar información a las autoridades o terceras partes en algunas circunstancias. Realiza todo lo que esté al alcance para proteger la privacidad de la información. No obstante, lo anterior, en casos en que terceras partes puedan interceptar o acceder a cierta información del titular en sus bases de datos o transmisiones de datos en sus dispositivos en cuyo caso GetXerpa no responde por la información que sea revelada.

GetXepera no puede compartir / revelar información personal sobre los cuales realiza el tratamiento, con terceros internos, que correspondan a compañías vinculadas a nivel global, con el fin de:

• Proporcionar servicios técnicos y de soporte a dichos terceros internos y recibir algunos de estos servicios de parte de ellos.

• Contribuir a la investigación, análisis y estudio de datos para mejorar los productos y los servicios que GetXerpa y otros terceros internos proporcionan respectivamente.

De igual manera, GetXerpa puede compartir información personal con terceros externos, tales como:

• Entidades financieras aliadas autorizadas con quien GetXerpa se asocie para crear y ofrecer productos y servicios conjuntamente. Según el tipo de pago elegido por el cliente, pagador o comprador, GetXerpa comparte la información con dichas entidades que validan y tratan cada medio de pago para la correspondiente aprobación, validación y liquidación. Esto significa que la información personal puede ser recolectada para tales fines por las entidades financieras emisoras de los medios de pago, instituciones financieras adquirientes, redes de procesamiento de pagos y franquicias como Master Card, Visa, entre otras.

• Operadores de bases de datos financieras y/o centrales de riesgos o información crediticia o financiera para reportar información financiera y llevar a cabo los respectivos análisis de riesgos, acorde con lo permitido por la ley.

• Proveedores de servicios o contratistas que apoyan la operación de la empresa.

• Empresas con las que se planee una fusión, escisión, adquisición, reorganización, liquidación u otros eventos similares, en cuyo caso se exige que la nueva entidad conformada o la entidad adquiriente cumpla con esta Política de privacidad en su totalidad con respecto a la información personal tratada por GetXerpa.

• Entidades regulatorias u organismos que tengan la competencia para exigir a GetXerpa, por vía de citación, orden judicial o procedimiento legal similar, información personal para temas de su competencia o cuando GetXerpa considere de buena fe que la divulgación es necesaria para prevenir un daño físico o una pérdida financiera, para reportar una sospecha de una actividad ilegal o para violar incumplimientos de nuestros Términos de Servicio.

• GetXerpa solamente divulga información personal en respuesta a requerimientos, si cree de buena fe que hacerlo así es necesario para cumplir con la ley aplicable o bajo una obligación legal proveniente de una autoridad competente. Recibidos tales requerimientos, se utilizarán esfuerzos razonables para darle un aviso oportuno al titular de los datos para que pueda impugnarlo, si decide hacerlo. No se suministrará aquél aviso si se determina de buena fe que: (i) no se permite a GetXerpa suministrarlo bajo la ley aplicable, o (ii) hacerlo así resultaría en un riesgo inminente de muerte, de una lesión física grave o de una pérdida significativa de bienes o un daño a GetXerpa o a una tercera parte.

En todos los casos, GetXerpa adopta todas las medidas razonables para garantizar que todo tercero involucrado en el tratamiento de información personal tenga establecidas las medidas técnicas y organizacionales necesarias, incluyendo los respectivos contratos de encargo o transmisión y de transferencia de datos, cuando corresponda.

GetXerpa y estos terceros son conscientes y están de acuerdo en que está estrictamente prohibido:

    a) Efectuar tratamiento de datos personales en forma fraudulenta.

    b) Destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento.

    c) Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.

    d) Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.

    e) Tratar, comunicar o ceder, a sabiendas, datos personales sensibles o datos personales de niños, niñas y adolescentes, en contravención a las normas de esta ley.

    f) Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.

    g) Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias que llevan los organismos públicos, sin contar con autorización legal para ello.

    h) Realizar a sabiendas operaciones de transferencia internacional de datos en contravención a las normas de protección de datos personales.

16. VIGENCIA DE LA POLÍTICA

GetXerpa se reserva el derecho, a discreción exclusiva y absoluta, a realizar cambios a esta Política de tratamiento de datos personales sin previo aviso.

Si se realizan cambios sustanciales en el contenido de esta Política de tratamiento de datos personales, en especial aquellos relacionados con la finalidad de la recaudación de Información Personal, GetXerpa puede optar por notificar a los usuarios mediante un aviso adicional que puede ser publicado en la página web o enviado mediante el correo electrónico registrado en nuestras bases de datos; caso contrario no se emitirá comunicados y el Titular puede revisar esta Política de tratamiento de datos personales periódicamente para detectar actualizaciones.

Al utilizar los servicios de GetXerpa y consentir la presente Política de tratamiento de datos personales, el titular reconoce que las notificaciones y avisos enviados por cualquier medio electrónico tienen el mismo significado y efecto que si se lo hubiese suministrado con una copia en papel. Las notificaciones y avisos que tienen relación con esta Política de tratamiento de datos personales fueron considerados como recibidos por el titular de la información en las primeras 24 horas calendario desde el momento en que se publicaron en la página web o que se enviaron por correo electrónico a la cuenta registrada en las bases de datos de GetXerpa, salvo que se reciba un aviso que indique que el correo electrónico enviado no pudo ser entregado a la dirección registrada.

Si al cabo de este tiempo el titular de los datos no se contacta con GetXerpa para presentar alguna objeción, se entiende de que ha aceptado los nuevos términos

Para GetXerpa es importante asegurar que la información personal que mantiene es correcta y esta actualizada, por lo que se le solicita periódicamente al titular de los datos la actualización de esta y, que ante cualquier cambio sea informado oportunamente, a través de los canales dispuestos para este fin.