Política de Privacidad de Credcol (Usuarios en Colombia)

I. Quiénes somos

• a) Responsable del tratamiento: Prolabcol SAS (“nosotros”)
• b) Productos y servicios: Aplicación móvil Credcol (el “Servicio”)
• c) Contacto (privacidad y derechos): En la app “Mi—Atención al cliente” o correo [email protected]
• d) Ámbito de usuarios: Principalmente usuarios en Colombia

II. Ámbito de aplicación y ley aplicable

Esta política aplica al tratamiento de datos personales al usar Credcol y se rige principalmente por la Ley 1581 de 2012 de Colombia y sus decretos reglamentarios. Si prestamos servicios en otras jurisdicciones, ofreceremos cláusulas adicionales conforme a la normativa local.

III. Qué datos recopilamos

Seguimos los principios de minimización y limitación de finalidad, recopilando los datos siguientes por módulos funcionales.

• a) Datos de cuenta e identidad

  Nombre, tipo y número de documento (p. ej., cédula), fecha de nacimiento, sexo, nacionalidad, teléfono móvil y correo; ID de cuenta, fecha de registro, credenciales con hash; imágenes del documento u otros soportes KYC.

• b) Datos del dispositivo y registros

  Modelo del dispositivo, versión del sistema y de la app, identificadores (IDFV/AD_ID/AAID según el sistema); IP, tipo de red; registros de fallos/rendimiento, eventos y marcas de tiempo.

• c) SMS y palabras clave financieras (con autorización, requisito para crédito)

  Con su autorización, aplicamos filtros de palabras clave financieras en los SMS y extraemos rasgos necesarios para la evaluación crediticia (p. ej., avisos de transferencias/abonos, facturas/recordatorios, mensajes bancarios). El contenido no pertinente se filtra localmente o no se carga. Sin autorización no es posible completar la evaluación ni el desembolso.

• d) Ubicación y control de riesgo (solo aproximada, opcional)

  Solo recopilamos ubicación aproximada (ciudad/región) para riesgo y estadísticas; no recopilamos ubicación precisa. Puede desactivarse en cualquier momento; podría afectar el score y la elegibilidad, no las funciones básicas.

• e) Datos de transacciones y uso

  Solicitudes y resultados de evaluación, estado de pago; estadísticas de uso y sesiones desidentificadas.

• f) SDK e identificadores (sin web)

  No usamos cookies web. En la app, Firebase y AppsFlyer pueden recopilar identificadores y eventos para analítica, estabilidad y atribución.

IV. Cómo usamos sus datos (fines y bases legales)

• a) Cuenta e identidad: registro y verificaciones previas (ejecución contractual/interés legítimo/obligación legal)
• b) Crédito y riesgo: scoring y antifraude con rasgos de SMS y señales de dispositivo/comportamiento (interés legítimo/obligación legal/autorización expresa)
• c) Desembolso y cobro: procesamiento transaccional, facturación y notificaciones necesarias (ejecución contractual/obligación legal)
• d) Soporte y operación: atención, mejora del servicio y resolución de fallos (ejecución contractual/interés legítimo)
• e) Analítica y mejora: estadísticas y optimización con Firebase u otros (interés legítimo/consentimiento, según configuración)
• f) Marketing (opcional): comunicaciones con consentimiento, revocable en cualquier momento

V. Permisos y efectos de su negación

• a) Lectura de SMS (obligatoria): extrae rasgos financieros y puede usarse para autocompletar OTP; sin autorización no hay evaluación ni desembolso.
• b) Ubicación aproximada (opcional): para riesgo y estadísticas; desactivarla puede afectar el score, no las funciones básicas.
• c) Identificador publicitario AD_ID/AAID (opcional): para atribución y antifraude; puede limitarse o restablecerse en el sistema.
• d) Cámara/galería: no integramos SDK biométrico/de identidad; si se habilita en el futuro, se solicitará autorización separada.

VI. Conservación y supresión de datos

• a) Cuenta e identidad: X años tras la cancelación o fin del servicio (recomendado 5), luego eliminación o anonimización irreversible.
• b) Crédito y riesgo (incluye rasgos de SMS, puntuaciones y logs): X años (recomendado 2–5), con purga/anonimización automática al vencimiento.
• c) Analítica: conservación a largo plazo tras desidentificación(https://request.prolabcolsas.com/), solo para estadística y mejora.
• d) Copias de seguridad: eliminación técnica diferida; no usadas en el tratamiento diario; registro auditado de supresión/anonimización.

VII. Cómo compartimos sus datos

No vendemos datos personales; compartimos lo necesario con encargados (nube, analítica Firebase, atribución AppsFlyer, notificaciones) bajo contrato; por exigencias legales; en operaciones corporativas; y datos agregados/desidentificados con fines estadísticos.

VIII. Lista de SDKs y servicios de terceros

• a) Firebase Analytics (Google LLC): identificadores, eventos de uso, fallos/rendimiento; finalidad: analítica y estabilidad; privacidad: https://policies.google.com/privacy; desactivación: “Ajustes de privacidad—Analítica” (si existe) o límites del sistema (parcial).
• b) AppsFlyer (AppsFlyer Ltd.): AD_ID/AAID, instalación y eventos de atribución, señales antifraude; finalidad: atribución y antifraude; privacidad: https://www.appsflyer.com/legal/privacy/; desactivación: “Ajustes de privacidad—Publicidad y atribución” (si existe) o límites del sistema.

IX. Transferencias internacionales de datos (servidores en México)

Nuestros servidores están en México y los datos pueden transferirse/almacenarse fuera de Colombia (p. ej., México y otras regiones necesarias para la estabilidad/seguridad). Evaluamos la adecuación y los riesgos del destino y aplicamos cláusulas contractuales (SCC o equivalentes), cifrado y controles de acceso. Los receptores solo tratan los datos bajo nuestras instrucciones y con niveles de protección no inferiores a esta política. Puede solicitar un resumen de garantías vía “Mi—Atención al cliente” o [email protected].

X. Protección de menores de edad

El Servicio no está dirigido a menores de 18 años. Si detectamos datos de menores sin consentimiento del representante legal, procederemos a su eliminación o a las medidas necesarias con prontitud.

XI. Decisiones automatizadas y perfiles (crédito y riesgo)

Utilizamos modelos automatizados basados en rasgos financieros de SMS autorizados y señales de dispositivo/comportamiento para calcular su puntaje, lo que puede afectar la decisión crediticia. Si resulta afectado, puede solicitar revisión humana y apelar en “Mi—Atención al cliente”; brindaremos información explicativa dentro de los límites legales.

XII. Seguridad y medidas de protección

Empleamos TLS 1.2+ y HSTS en tránsito; cifrado AES256 y gestión escalonada de claves (KMS/HSM) en reposo, mínimo privilegio y MFA; escaneos de dependencias/código, pruebas de penetración anuales, registros y auditoría; controles organizativos y acuerdos de confidencialidad; ante incidentes de alto riesgo notificaremos a la autoridad y a los usuarios afectados en los plazos legales.

XIII. Sus derechos y cómo ejercerlos (Habeas Data)

Usted tiene derechos de acceso, rectificación/actualización, supresión, oposición o restricción del tratamiento, revocación del consentimiento y a conocer los fines y la prueba de la autorización (conforme a la ley colombiana).

En la app “Mi—Atención al cliente” (categoría “Derechos de datos/Privacidad”) o al correo [email protected]. Respondemos usualmente en 15 días hábiles; si requiere prórroga, lo informaremos dentro del plazo legal con la justificación. Para su seguridad podremos verificar su identidad.

XIV. Actualizaciones y notificaciones

Podemos actualizar esta política por cambios de negocio, técnicos o legales. Notificaremos cambios importantes con 7 días de antelación mediante avisos en la app. El uso continuo tras la entrada en vigor implica aceptación; para nuevos tratamientos basados en consentimiento, lo solicitaremos nuevamente.

XV. Cómo contactarnos

Contacto y ejercicio de derechos/apelaciones: en la app “Mi—Atención al cliente”; correo: [email protected]