Política de privacidad y
tratamiento de datos personales

Compromiso con la protección de datos

Three Point S.A.S. adopta la presente Política de Privacidad y Tratamiento de Datos Personales en cumplimiento de la normativa colombiana, estándares internacionales y mejores prácticas en seguridad de la información, especialmente en entornos fintech y de contratación con entidades del sector público.

Marco legal aplicable

Esta política se fundamenta en la siguiente normativa nacional e internacional:

• Constitución Política de Colombia (Art. 15)
• Ley 1581 de 2012
• Ley 1266 de 2008 (Habeas Data financiero)
• Decreto 1377 de 2013
• Decreto 1074 de 2015
• Circular Única de la SIC
• Normativa aplicable a entidades públicas (Ley 1712 de 2014 — Transparencia)
• GDPR (cuando aplique tratamiento internacional)

Estándares internacionales

• ISO/IEC 27001 — Seguridad de la Información
• ISO/IEC 27701 — Gestión de privacidad
• ISO 9001 — Gestión de calidad

Alcance de la política

Aplica a todos los datos personales tratados por Three Point S.A.S., incluyendo usuarios finales, clientes, funcionarios públicos, empleados, proveedores y terceros aliados.

Definiciones clave

• Dato personal sensible: Incluye datos biométricos, financieros, de salud o cualquier información que pueda generar discriminación.
• Dato financiero: Información relacionada con historial crediticio, ingresos, obligaciones y comportamiento de pago.
• Encargado del tratamiento: Tercero que procesa datos por cuenta de la empresa.

Principios de tratamiento

Three Point S.A.S. aplica los siguientes principios en el tratamiento de datos personales:

• Legalidad
• Finalidad
• Libertad
• Transparencia
• Seguridad reforzada
• Responsabilidad demostrada (Accountability)

Categorías de datos

Three Point S.A.S. podrá recolectar las siguientes categorías de datos:

Datos básicos

• Nombre, identificación, contacto

Datos laborales

• Empresa, cargo, ingresos

Datos financieros (fintech)

• Información crediticia
• Libranzas
• Historial de pagos

Datos tecnológicos

• IP, cookies, dispositivos, logs

Finalidades del tratamiento

• Gestión de productos fintech (créditos, libranzas)
• Validación de identidad y prevención de fraude
• Cumplimiento de obligaciones legales y contractuales
• Integración con sistemas de nómina (pagadurías)
• Reportes a centrales de riesgo (cuando aplique)
• Atención al cliente
• Analítica y mejora del servicio

Base legal del tratamiento

El tratamiento de datos personales se fundamenta en una o varias de las siguientes bases:

• Consentimiento del titular
• Ejecución de contrato
• Cumplimiento de obligación legal
• Interés legítimo (seguridad, prevención de fraude)

Tratamiento de datos sensibles

El tratamiento de datos sensibles será:

• Opcional para el titular
• Informado explícitamente
• Protegido con medidas reforzadas de seguridad

Derechos del titular

El titular de los datos podrá ejercer los siguientes derechos:

• Acceder, actualizar y rectificar datos
• Solicitar eliminación de datos
• Revocar autorización
• Solicitar portabilidad (cuando aplique)
• Presentar quejas ante la SIC

Encargados del tratamiento

Three Point S.A.S. podrá compartir datos con los siguientes encargados:

• Proveedores cloud (ej. Microsoft Azure)
• Plataformas tecnológicas
• Entidades financieras
• Entidades públicas

Todos los encargados operan bajo contratos con cláusulas específicas de protección de datos.

Transferencia internacional

Three Point S.A.S. podrá transferir datos fuera de Colombia garantizando:

• Países con nivel adecuado de protección
• Cláusulas contractuales tipo
• Cumplimiento GDPR cuando aplique

Seguridad de la información

Se implementan controles alineados con la norma ISO 27001:

• Gestión de accesos (IAM)
• Cifrado en tránsito y reposo
• Monitoreo continuo (logs)
• Pruebas de vulnerabilidad
• Gestión de incidentes

Gestión de incidentes de seguridad

En caso de presentarse un incidente de seguridad:

• Se activará el protocolo interno de respuesta
• Se notificará a la SIC cuando aplique
• Se informará al titular si existe riesgo

Conservación de la información

Los datos personales se conservarán:

• Durante toda la vigencia de la relación contractual
• Según las obligaciones legales aplicables (mínimo 5–10 años en entornos fintech)

Oficial de protección de datos (DPO)

Three Point S.A.S. podrá designar un responsable de protección de datos encargado de:

• Supervisión del cumplimiento
• Atención a titulares
• Relación con autoridades

Procedimiento para ejercer derechos

Para ejercer cualquiera de los derechos descritos en esta política, el titular puede dirigirse al siguiente correo electrónico:

Tiempos de respuesta

• Consultas: 10 días hábiles
• Reclamos: 15 días hábiles

Uso de cookies

Three Point S.A.S. utiliza cookies para los siguientes propósitos:

• Autenticación
• Analítica
• Seguridad

El usuario puede gestionar las cookies directamente desde la configuración de su navegador.

Cumplimiento con sector público

Cuando aplique, Three Point S.A.S. garantiza:

• Protección de datos de funcionarios públicos
• Cumplimiento de lineamientos MinTIC
• Seguridad en interoperabilidad (APIs)

Modificaciones a la política

Three Point S.A.S. podrá modificar esta política en cualquier momento. Los cambios serán publicados en la página web y entrarán en vigencia desde su publicación.

Vigencia

La presente Política de Privacidad y Tratamiento de Datos Personales rige a partir de su publicación oficial.