CréditoControl
Documento Legal

Política de Privacidad y Tratamiento de Datos Personales

Última actualización: 10 de mayo de 2026

Aviso Legal: Este documento establece las reglas de tratamiento de datos personales conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes. Su uso de la plataforma CréditoControl implica la aceptación de esta política.

1. Identificación del Responsable del Tratamiento

El responsable del tratamiento de los datos personales es:

Razón socialCréditoControl S.A.S.
NIT[NIT DE LA EMPRESA]
Domicilio[DIRECCIÓN REGISTRADA], Colombia
Correo electrónicoprivacidad@creditocontrol.com
Teléfono[TELÉFONO DE CONTACTO]
Sitio webhttps://creditocontrol.com

CréditoControl es una plataforma de software como servicio (SaaS) especializada en la gestión de carteras de créditos personales para prestamistas, fintechs, cooperativas y asesores financieros en Colombia.

2. Marco Normativo

La presente política se rige por:

  • Constitución Política de Colombia, artículos 15 y 20 — derecho a la intimidad y habeas data.
  • Ley Estatutaria 1581 de 2012 — Protección de Datos Personales.
  • Decreto 1377 de 2013 — Reglamentario de la Ley 1581.
  • Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio.
  • Ley 1266 de 2008 — Habeas Data Financiero y de crédito.
  • Decreto 2952 de 2010 — Reglamentario de la Ley 1266.
  • Ley 1480 de 2011 — Estatuto del Consumidor.
  • Ley 1341 de 2009 — Tecnologías de la Información y Comunicaciones.
  • Circulares de la Superintendencia de Industria y Comercio (SIC).

3. Definiciones

Autorización:
Consentimiento previo, expreso e informado del Titular para el tratamiento de sus datos personales.
Base de Datos:
Conjunto organizado de datos personales objeto de tratamiento.
Dato Personal:
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato Sensible:
Datos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación: datos de salud, biométricos, ideología, vida sexual, entre otros.
Dato Público:
Dato calificado como tal por ley o por el Titular. Son públicos, entre otros, los datos relativos al estado civil y la profesión.
Dato Privado:
Dato que, por su naturaleza íntima o reservada, solo es relevante para el Titular.
Dato Semiprivado:
Datos que no tienen naturaleza íntima, reservada ni pública, y cuyo conocimiento o divulgación puede interesar no solo al Titular sino a cierto sector.
Encargado:
Persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del Responsable.
Responsable:
Persona natural o jurídica que sola o en asocio con otras decide sobre la base de datos y/o el tratamiento de los datos.
Titular:
Persona natural cuyos datos personales son objeto de tratamiento.
Tratamiento:
Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión, entre otras.
Habeas Data:
Derecho fundamental a conocer, actualizar, rectificar y suprimir datos personales que consten en registros o bancos de datos.
SIC:
Superintendencia de Industria y Comercio, autoridad de control en materia de protección de datos en Colombia.
Suscriptor:
Persona natural o jurídica que contrata la plataforma CréditoControl para gestionar su cartera de créditos.
Usuario Final / Cliente del Suscriptor:
Persona natural cuyos datos son ingresados por el Suscriptor en la plataforma en calidad de deudor o solicitante de crédito.

4. Principios Rectores del Tratamiento

El tratamiento de datos personales en CréditoControl se rige por los siguientes principios:

Legalidad

El tratamiento se realiza conforme a las disposiciones de la Ley 1581 de 2012 y normas concordantes.

Finalidad

Los datos se recolectan con fines determinados, explícitos y legítimos, y no se tratan de manera incompatible con esos fines.

Libertad

El tratamiento solo puede realizarse con el consentimiento previo, expreso e informado del Titular. Los datos no pueden obtenerse por fraude o coacción.

Veracidad / Calidad

Los datos deben ser veraces, completos, exactos, actualizados y comprensibles.

Transparencia

El Titular tiene derecho a obtener información sobre los datos que le conciernen y sobre el tratamiento realizado.

Acceso Restringido

Los datos solo pueden ser conocidos por personas autorizadas. Se excluye el acceso de quienes no tengan autorización.

Seguridad

Se adoptan medidas técnicas, humanas y administrativas para proteger los datos contra riesgos de pérdida, alteración o acceso no autorizado.

Confidencialidad

Todas las personas que intervienen en el tratamiento de datos están obligadas a guardar reserva sobre la información.

5. Categorías de Datos Personales Tratados

CréditoControl trata las siguientes categorías de datos, según el tipo de titular:

5.1 Datos de Suscriptores (prestamistas, asesores, empresas)

Nombre completo / razón socialNúmero de identificación (CC, NIT, CE)Correo electrónico corporativoTeléfono de contactoDirección de domicilio / sedeDatos bancarios para facturaciónInformación de uso de la plataformaRegistros de acceso (IP, dispositivo, sesión)

5.2 Datos de Clientes del Suscriptor (deudores / solicitantes de crédito)

Nombre completoTipo y número de identificaciónFecha de nacimientoNacionalidadCorreo electrónicoTeléfonoDirección de residenciaCiudad y departamentoOcupación / empleadorIngresos y gastos mensualesOtras obligaciones financierasHistorial de créditoDocumentos de identidad (fotografías)Firma digital / electrónicaDatos de comportamiento de pagoInformación de riesgo crediticioDeclaración de origen de fondosDeclaración de PEP (Persona Expuesta Políticamente)

5.3 Datos Sensibles

En el marco del proceso de verificación de clientes, CréditoControl puede tratar datos biométricos (fotografía del rostro, imagen del documento de identidad) con el consentimiento expreso del titular. Estos datos se usan exclusivamente para verificar la identidad y prevenir fraude, y se protegen con controles reforzados de seguridad.

5.4 Datos de Navegación y Técnicos

Dirección IPTipo de dispositivo y navegadorSistema operativoRegistros de actividad (logs)Cookies de sesiónTiempo y páginas visitadas en la plataforma

6. Finalidades del Tratamiento

6.1 Para datos de Suscriptores

  1. Prestar los servicios de la plataforma CréditoControl contratados.
  2. Gestionar la relación contractual, facturación y soporte técnico.
  3. Enviar comunicaciones operativas sobre el servicio (actualizaciones, alertas, mantenimientos).
  4. Enviar comunicaciones comerciales y promocionales, previa autorización.
  5. Cumplir con obligaciones legales y reglamentarias.
  6. Mejorar la plataforma a través del análisis de uso (anonimizado).
  7. Detectar y prevenir fraudes y accesos no autorizados.

6.2 Para datos de Clientes del Suscriptor

  1. Originar, desembolsar y gestionar créditos personales.
  2. Verificar la identidad del solicitante y prevenir suplantación.
  3. Evaluar la capacidad de pago y el riesgo crediticio.
  4. Cumplir con obligaciones de prevención de lavado de activos y financiación del terrorismo.
  5. Consultar y reportar a centrales de riesgo (DataCrédito, TransUnion, etc.), conforme a la Ley 1266 de 2008.
  6. Gestionar el cobro de obligaciones vencidas.
  7. Generar documentos contractuales (contratos de crédito, pagarés).
  8. Enviar recordatorios de pago, estados de cuenta y comunicaciones del crédito.
  9. Cumplir con requerimientos de autoridades judiciales o administrativas.
Nota: Los datos de los clientes del Suscriptor son ingresados por el propio Suscriptor, quien actúa como Responsable principal de esos datos ante sus clientes. CréditoControl actúa como Encargado del tratamiento respecto a dichos datos.

7. Autorización del Titular

El tratamiento de datos personales requiere la autorización previa, expresa e informada del Titular, salvo en los casos exceptuados por la ley (artículo 10, Ley 1581 de 2012):

  • Cuando el tratamiento sea necesario para la ejecución de una relación contractual.
  • Cuando los datos sean de naturaleza pública.
  • Por razones de salud o emergencias que demanden el tratamiento.
  • Para cumplimiento de obligaciones legales.

La autorización se recaba a través del formulario de verificación digital (Formulario de Conocimiento del Cliente), en el que el Titular manifiesta expresamente su consentimiento mediante firma electrónica. Dicha autorización queda registrada con fecha, hora y dirección IP.

8. Derechos del Titular (Artículo 8°, Ley 1581 de 2012)

El Titular de datos personales tiene los siguientes derechos:

Derecho de Acceso: Conocer los datos personales que reposan en nuestras bases de datos y cómo están siendo tratados.
Derecho de Rectificación: Actualizar o corregir datos inexactos, incompletos o desactualizados.
Derecho de Supresión: Solicitar la eliminación de sus datos cuando el tratamiento no se ajuste a la ley, salvo que exista obligación legal de conservarlos.
Derecho de Revocación: Revocar la autorización otorgada para el tratamiento, cuando no exista un deber legal o contractual que lo impida.
Derecho de Queja: Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) cuando considere que se han vulnerado sus derechos.
Derecho de Prueba: Solicitar prueba de la autorización otorgada para el tratamiento.
Derecho de Información: Ser informado sobre el uso dado a sus datos personales, previa solicitud.
Acceso Gratuito: Acceder de forma gratuita a sus datos personales al menos una vez al mes y cada vez que se realicen modificaciones que motiven una nueva consulta.

9. Procedimiento para el Ejercicio de Derechos (Habeas Data)

9.1 Consultas

El Titular o sus causahabientes podrán consultar la información personal que repose en las bases de datos enviando solicitud al correo privacidad@creditocontrol.com con los siguientes datos:

  • Nombre completo y número de identificación.
  • Descripción clara de la consulta.
  • Información de contacto para la respuesta.

Plazo de respuesta: Máximo 10 días hábiles desde la recepción. Si no es posible atender en ese plazo, se comunicará antes del vencimiento indicando la fecha estimada (máximo 5 días hábiles adicionales).

9.2 Reclamos (Rectificación, Supresión, Revocación)

El Titular que considere que la información debe ser corregida, actualizada o suprimida, o que ha sido vulnerado algún derecho, podrá presentar reclamo dirigido a CréditoControl S.A.S. enviando al correo privacidad@creditocontrol.com:

  • Nombre completo y número de identificación.
  • Descripción detallada del reclamo y datos a corregir/suprimir.
  • Documentos de soporte (si aplica).

Recibido el reclamo, en un plazo máximo de 2 días hábiles se incluirá en el registro la leyenda "reclamo en trámite". La respuesta definitiva se dará en un plazo máximo de 15 días hábiles, prorrogables hasta 8 días hábiles adicionales informando al Titular.

9.3 Queja ante la SIC

Si el Titular considera que CréditoControl S.A.S. no ha atendido su solicitud, podrá acudir a la Superintendencia de Industria y Comercio (SIC) en www.sic.gov.co.

10. Transferencia y Transmisión Internacional de Datos

Los datos personales tratados por CréditoControl pueden ser transmitidos a proveedores de servicios de infraestructura tecnológica ubicados fuera de Colombia (incluyendo Estados Unidos y la Unión Europea), con fines exclusivos de alojamiento, procesamiento y operación de la plataforma. Dichos proveedores actúan como Encargados del tratamiento y están sujetos a controles contractuales y de seguridad equivalentes o superiores a los exigidos por la ley colombiana. Entre los proveedores pueden encontrarse:

Proveedores de infraestructura cloud (servidores, bases de datos)Proveedores de servicios de correo electrónico transaccionalProveedores de autenticación y seguridad

No se realizan transferencias de datos a terceros con fines comerciales sin autorización previa del Titular, salvo en los casos establecidos en la ley (centrales de riesgo, autoridades, obligaciones legales).

11. Datos Sensibles

El tratamiento de datos sensibles (biométricos, fotografías de documentos de identidad) se realiza únicamente bajo las siguientes condiciones:

  • Con autorización expresa del Titular, indicando expresamente el carácter sensible del dato.
  • Con fines exclusivos de verificación de identidad y prevención de fraude.
  • Con controles de seguridad reforzados: cifrado AES-256, acceso restringido por roles.
  • No se compartirán con terceros sin autorización expresa, salvo mandato legal.

El Titular no está obligado a suministrar datos sensibles, pero su no entrega puede impedir la prestación del servicio de verificación de identidad.

12. Datos de Menores de Edad

CréditoControl no recopila deliberadamente datos de menores de 18 años. El acceso a la plataforma como Suscriptor requiere ser mayor de edad. Si un Suscriptor ingresa datos de un menor de edad como cliente o deudor, declara tener la autorización del representante legal del menor y que el tratamiento cumple con los requisitos del artículo 7° de la Ley 1581 de 2012 (interés superior del menor). Si CréditoControl detecta el tratamiento no autorizado de datos de menores, procederá a su eliminación inmediata.

13. Medidas de Seguridad

CréditoControl implementa medidas técnicas, administrativas y organizacionales para proteger los datos personales:

🔒 Cifrado en tránsito

Protocolo TLS 1.3 en todas las comunicaciones.

🔒 Cifrado en reposo

AES-256 para datos almacenados en bases de datos.

🔒 Control de acceso

Autenticación con contraseña, 2FA disponible, gestión de roles y permisos.

🔒 Aislamiento de empresas

Cada Suscriptor tiene un entorno completamente segregado.

🔒 Auditoría

Registros de acceso y actividad (logs) con retención de 90 días.

🔒 Backups

Copias de seguridad periódicas con almacenamiento cifrado.

🔒 Infraestructura certificada

Proveedores con certificaciones ISO 27001 y SOC 2.

🔒 Eliminación segura

Los datos se eliminan de forma segura al cumplir su finalidad o al terminar la relación contractual.

14. Vigencia de las Bases de Datos

Los datos personales se conservarán durante el tiempo necesario para cumplir las finalidades para las que fueron recolectados, y durante los términos de conservación exigidos por la ley:

  • Datos de Suscriptores activos: Durante la vigencia del contrato de servicio y hasta 5 años después de su terminación.
  • Datos de crédito e historial financiero: Hasta 4 años después de cancelada la obligación, conforme a la Ley 1266 de 2008.
  • Datos de verificación de identidad (KYC): Hasta 5 años conforme a normas SARLAFT.
  • Datos contables y tributarios: 10 años, según el Código de Comercio y normas tributarias.
  • Datos de navegación y logs: 90 días.

Vencidos estos plazos, los datos serán eliminados de forma segura o anonimizados para fines estadísticos.

15. Uso de Cookies y Tecnologías de Seguimiento

La plataforma CréditoControl utiliza cookies y tecnologías similares con las siguientes finalidades:

  • Cookies esenciales: Necesarias para el funcionamiento de la sesión y la autenticación.
  • Cookies de rendimiento: Análisis anónimo del uso de la plataforma para mejoras.
  • Cookies de seguridad: Detección de accesos sospechosos y prevención de fraude.

El usuario puede gestionar las cookies desde la configuración de su navegador. La desactivación de cookies esenciales puede afectar el funcionamiento de la plataforma.

16. Modificaciones a esta Política

CréditoControl S.A.S. se reserva el derecho de modificar esta política en cualquier momento, siempre que los cambios sean conformes con la ley. Las modificaciones sustanciales serán comunicadas a los Titulares a través de: (i) publicación en el sitio web https://creditocontrol.com, (ii) notificación por correo electrónico a Suscriptores activos, (iii) aviso en la plataforma. La fecha de la última actualización siempre aparecerá en el encabezado de este documento.

17. Contacto y Canal de Atención

Para ejercer sus derechos de habeas data o resolver inquietudes sobre esta política:

Correo electrónicoprivacidad@creditocontrol.com
Dirección postal[DIRECCIÓN REGISTRADA], Colombia
Teléfono[TELÉFONO DE CONTACTO]
Horario de atenciónLunes a viernes, 8:00 a.m. – 5:00 p.m. (hora Colombia)
Términos y CondicionesAviso de Privacidad← Volver al inicio