Gestiona tu pago
Contáctanos
Gestiona tu pago
Contáctanos
Políticas

Política de Protección de datos personales

En cumplimiento a los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 del 2012 y el Decreto 1377 de 2013, Las empresas pertenecientes al grupo LIQUITTY COLOMBIA S.A.S las cuales se anuncian a continuación (Cobrando S.A.S.y Gesti S.A.S) nos encontramos comprometidos con el cumplimiento de la normatividad legal vigente aplicable a la organización, por tal motivo LIQUITTY COLOMBIA S.A.S define a través de esta política los principios y bases fundamentales sobre las cuales se lleva a cabo el tratamiento de los datos personales.

1. OBJETIVO

La presente Política tiene como objetivo establecer los lineamientos, principios y procedimientos
que rigen el tratamiento de datos personales, incluidos datos de naturaleza financiera, crediticia
y demográfica por parte de las empresas del grupo LIQUITTY COLOMBIA S.A.S. (en adelante,
junto con sus filiales Cobrando S.A.S. y Gesti S.A.S., “el Grupo Liquitty”), en cumplimiento de la
Constitución Política de Colombia (artículo 15), la Ley Estatutaria 1581 de 2012, el Decreto 1377
de 2013 (compilado en el Decreto Único Reglamentario 1074 de 2015), la Ley 1266 de 2008 y
demás normatividad vigente en materia de protección de datos personales.

Esta Política busca:

a) Garantizar el derecho constitucional de hábeas data de todos los titulares cuyos datos
personales sean objeto de tratamiento por la Organización, tanto en su calidad de Responsable
del tratamiento como en su calidad de Encargado del tratamiento por cuenta de entidades del
sector financiero y demás clientes corporativos.

b) Informar a los titulares sobre las finalidades, los tipos de tratamiento, las transferencias y
transmisiones a las que son sometidos sus datos personales, así como los mecanismos y
canales disponibles para el ejercicio de sus derechos de consulta, reclamo, actualización,
rectificación, supresión y revocatoria de la autorización.

c) Definir los roles, responsabilidades y obligaciones de la Organización frente al tratamiento de
datos personales propios y de aquellos que le son confiados por terceros en virtud de relaciones
contractuales de encargo.

2. ALCANCE

La presente Política aplica a todo tratamiento de datos personales, recolección, almacenamiento,
uso, circulación, transferencia, transmisión, supresión y, en general, cualquier operación sobre
datos personales— contenidos en las bases de datos administradas por el Grupo Liquitty
(LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), en las siguientes calidades:

a) Como Responsable del tratamiento: respecto de los datos personales de sus clientes,
empleados, contratistas, proveedores, candidatos a vinculación laboral, visitantes y demás
personas naturales con quienes la Organización mantenga o haya mantenido una relación
directa.

b) Como Encargado del tratamiento: respecto de los datos personales, financieros, crediticios y
demográficos de los titulares (deudores, usuarios y/o clientes) que las entidades del sector
financiero y demás clientes corporativos transmiten a la Organización para el desarrollo de
actividades de gestión de cartera, cobranza y servicios asociados, en virtud de contratos de
transmisión o encargo del tratamiento.

 

Esta Política es de obligatorio cumplimiento para todos los colaboradores (empleados,
practicantes y personal temporal), contratistas, proveedores, aliados estratégicos y cualquier
tercero que, en razón de sus funciones o relación contractual, acceda, procese o tenga contacto
con datos personales bajo custodia o administración del el Grupo Liquitty (LIQUITTY COLOMBIA
S.A.S., Cobrando S.A.S. y Gesti S.A.S.). Su aplicación se extiende a todos los medios de
tratamiento, sean físicos, automatizados o mixtos.

3. DEFINICIONES

Para efectos de la presente política y en concordancia con la Ley 1581 de 2012, el Decreto 1074 de 2025 y
la Circular Externa No. 003 de 2025 de la Superintendencia de Industria y Comercio, se adoptan las
siguientes definiciones:

a) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables.

b) Dato personal sensible: Aquel que afecta la intimidad del titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

c) Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

d) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en
asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

e) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio
con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.

f) Subencargado del tratamiento: Encargado del tratamiento contratado por otro Encargado para llevar a
cabo determinadas actividades de tratamiento por cuenta del Responsable.

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la
recolección, almacenamiento, uso, circulación, transferencia, transmisión o supresión.

h) Transferencia internacional de datos personales: Tiene lugar cuando el Responsable y/o Encargado del
tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un
receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país, conforme a
lo definido en el Decreto 1074 de 2025.

i) Transmisión internacional de datos personales: Tiene lugar cuando el envío de la información o los
datos personales se realiza entre un Responsable ubicado en Colombia a un Encargado que se encuentra
dentro o fuera del país, conforme a lo definido en el Decreto 1074 de 2025.

j) Exportador de datos: Persona natural o jurídica, de carácter público o privado, ubicada en territorio
colombiano, que efectúa transferencias o transmisiones internacionales de datos personales.

k) Importador de datos: Persona natural o jurídica, de carácter público o privado, ubicada fuera de
Colombia, que recibe datos personales mediante una transferencia o transmisión internacional.

l) Cláusulas Contractuales Modelo (CCM): Disposiciones contractuales estandarizadas aprobadas por la
Red Iberoamericana de Protección de Datos (RIPD) e instruidas por la SIC mediante la Circular Externa
No. 003 de 2025, que establecen obligaciones recíprocas entre las partes que participan en el flujo
transfronterizo de datos personales, con el fin de garantizar que el tratamiento se realice bajo estándares
de seguridad y respeto a los derechos de los titulares.

m) Tercero beneficiario: Titular cuyos datos personales son objeto de una transferencia o transmisión
internacional en virtud de un acuerdo basado en CCM, y que puede ejercer los derechos que dichas
cláusulas le reconocen aunque no haya suscrito el acuerdo.

n) Transferencia ulterior: Transferencia de datos personales realizada por el Importador de datos a un
tercero ubicado fuera de la jurisdicción del Exportador de datos, que cumple con las garantías
establecidas en las CCM.

o) Vulneración de la seguridad de datos personales: Cualquier daño, pérdida, alteración, destrucción,
acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de
manera accidental.

p) Decisión individual automatizada: Decisión que produzca efectos jurídicos al titular o le afecte de
manera significativa y que se base únicamente en tratamientos automatizados destinados a evaluar, sin
intervención humana, determinados aspectos personales del mismo.

q) Anonimización: Aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o re￾identificación de una persona natural sin esfuerzos desproporcionados.

r) Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento
de datos personales.

4. IDENTIFICACIÓN DEL RESPONSABLE

Las personas jurídicas responsables del tratamiento de datos son:

  • Razón social: GESTI S.A.S. identificada con NIT: 805.030.106-0, COBRANDO
    S.A.S. identificada con el NIT 830.056.578-7 y LIQUITTY COLOMBIA S.A.S identificada con
    NIT: 901555931-2
  • Domicilio: Sede Chicó: calle 96 N.º 13 -11 Bogotá, SedeRionegro: Av. Kr. 50 no 93A – 29 Bogotá.
    Sede Cali Av 6A Norte # 23N-41 Cali.
    Barranquilla: Cra. 53 # 68B -125 Local 2-222 Centro comercial gran centro
  • PBX: 6014222777 EXT 1522
  • página web: www.liquitty.com

    Correo electrónico: protecciondedatospersonales@liquitty.com

    5. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) realiza el
    tratamiento de datos personales bajo la aplicación de los siguientes principios:

    El tratamiento a que se refiere la Ley de Habeas Data es una actividad reglada que debe
    sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

    • Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con
    la Constitución y la ley, la cual debe ser informada al Titular.

    • Principio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo,
    expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados
    sin previa autorización, o en ausencia de mandato legal o judicial que releve el
    consentimiento.

    • Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz,
    completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de
    datos parciales, incompletos, fraccionados o que induzcan a error.

    • Principio de transparencia: En el tratamiento debe garantizarse el derecho del Titular a
    obtener del responsable del tratamiento o del Encargado del tratamiento, en cualquier
    momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

    • Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se
    derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la
    Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por
    el Titular y/o por las personas previstas en la ley.

    • Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u
    otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente
    controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados
    conforme a la ley.

    • Principio de seguridad: La información sujeta a tratamiento por el responsable del
    tratamiento o Encargado del tratamiento a que se refiere la Ley de Habeas Data, se deberá
    manejar con las medidas técnicas, humanas y administrativas que sean necesarias para
    otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no
    autorizado o fraudulento.

    • Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de
    datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la
    reserva de la información, inclusive después de finalizada su relación con alguna de las
    labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de
    datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la
    ley y en los términos de esta.

    6. TRATAMIENTO Y FINALIDAD DE LOS DATOS PERSONALES

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) recolecta los
    datos personales sus Empleados, Retirados, Proveedores, Contratistas, Visitantes, Clientes,
    Titulares los cuales son calificados por la organización como de reserva, y solo serán revelados
    por la organización con la expresa autorización del titular o cuando una Autoridad Competente lo
    solicite.

    En todo caso, la información de Empleados, Retirados, Proveedores, Contratistas, Visitantes,
    Clientes, Titulares no será objeto de tratamiento por un período superior al tiempo de la relación
    contractual con la compañía, y el tiempo adicional que se requiera de acuerdo con las
    circunstancias legales o contractuales que hagan necesario el manejo de la información.

    Por medio de las siguientes políticas establece la finalidad y tratamiento de los datos personales
    de los cuales actúa como responsable del tratamiento.

    6.1. Finalidades Datos personales de Empleados:

    a) Dar cumplimiento a las obligaciones que impone la ley laboral colombiana a los Empleados, o
    bien las órdenes que impartan las autoridades colombianas competentes.

    b) Emitir certificaciones relativas a la relación del titular del dato con la organización.

    c) Cumplir con las obligaciones impuestas a la organización como Colaborador, en relación con
    las normas de Seguridad y Salud Ocupacional en cumplimiento con el Sistema de Gestión de
    Seguridad y Salud en el Trabajo (SG-SST).

    d) Gestionar las funciones desarrolladas por los trabajadores.

    e) Consultar memorandos, llamados de atención o proceso disciplinario.

    f) Contactar a familiares en casos de emergencia.

    h) Gestionar los procedimientos inmersos y establecidos en el proceso de Gestión Humana
    respecto a selección, contratación, vinculación y afiliación GHFR043 – FORMATO DE
    CARACTERIZACIÓN

    i) Afiliación de beneficiarios a E.P.S y caja de compensación.

    j) Publicar internamente, soportar, realizar informes, mediante el registro fotográfico, grabación
    de video o audio de las eventos y capacitaciones realizados por la organización

    k) Uso de aplicaciones empresariales

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) almacena los
    datos personales de sus Empleados, incluidos los que hayan sido obtenidos en desarrollo
    del proceso de selección, y los conserva en una carpeta identificada con el nombre de cada uno
    de ellos, carpeta a la cual solo tendrá acceso y será tratada por el Área de Recursos Humanos,
    con la finalidad de administrar la relación contractual entre la organización y el colaborador.

    Dentro de los datos objeto de tratamiento, se recolectan datos sensibles de sus trabajadores como
    la huella dactilar con la única finalidad de controlar el horario de ingreso a las instalaciones de la
    compañía y proporcionar ambientes de trabajo seguros. Para los efectos de este tratamiento se
    recolecta la respectiva autorización que en todo caso será expresa y facultativa, indicando
    claramente los datos sensibles objeto de tratamiento y la finalidad de este.

    6.2 Finalidades Datos personales de Retirados:

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) almacenará
    los datos personales que haya obtenido del proceso de selección y la documentación generada en
    desarrollo de la relación laboral, con el fin de cumplir con obligaciones que puedan originarse de
    la relación laboral de acuerdo a la legislación colombiana, adicional proporcionar las
    certificaciones laborales que sean solicitadas por el Retirados o terceros que adelanten un
    proceso de selección o contratación.

    6.3. Finalidades Tratamiento de datos personales de Proveedores y Contratistas

    i. Envío de invitaciones a contratar y realización de gestiones para las etapas
    precontractual, contractual y pos contractual.

    ii. Envío de invitaciones a eventos programados por la Compañía o sus vinculadas.

    iii. Las demás establecidas específicamente en las autorizaciones que sean otorgadas
    por los propios proveedores y/o contratistas.

    iv. El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) solo
    recaudará de sus proveedores y/o contratistas los datos que sean necesarios, pertinentes
    y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que
    haya lugar.

    v. La recolección de los datos personales de los proveedores y/o contratistas por parte de El
    Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), tendrá en
    todo caso como finalidad verificar la idoneidad y competencia de los Empleados; es decir,
    una vez verificado este requisito, Las empresas pertenecientes al El Grupo Liquitty
    (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) devolverá tal información
    al Proveedor y/o contratista, salvo cuando se autorice expresamente su conservación.

    vi. Se realizará consulta en listas restrictivas de acuerdo con las políticas internas de la
    organización.

    vii. Cumplir las normas aplicables a proveedores y contratistas, como las tributarias
    (Distritales y Nacionales) y comerciales.

    6.4. Finalidades Tratamiento de datos personales de Visitantes en el Control Ingreso

    a) Registrar, verificar y controlar el ingreso y salida de visitantes a las instalaciones de El
    Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), con el fin
    de garantizar la seguridad física de las instalaciones, los colaboradores y los activos de
    información.

    b) Validar la identidad de los visitantes mediante documentos de identificación u otros
    mecanismos de verificación para prevenir accesos no autorizados y suplantación de
    identidad.

    c) Administrar los controles de seguridad asociados a la permanencia de visitantes dentro
    de las instalaciones, incluyendo registro en sistemas de control de acceso, asignación de
    escarapelas o credenciales temporales y seguimiento de visitas.

    d) Utilizar la información de registro de visitantes para investigar, documentar y gestionar
    incidentes de seguridad física, seguridad de la información o eventos operativos.

    e) Atender requerimientos de autoridades administrativas o judiciales, así como obligaciones
    derivadas de contratos con clientes o terceros, particularmente del sector financiero.

    f) Gestionar la atención, acompañamiento y autorización de ingreso de visitantes por parte
    de los responsables internos o áreas anfitrionas.

    g) En todo caso, la información no será objeto de tratamiento por un período superior a un (1)
    año contado a partir de su recolección de acuerdo con las circunstancias legales o
    contractuales que hacen necesario el manejo de la información.

    6.5. Finalidades Tratamiento de datos personales de Registro de Video Vigilancia

    La recolección de imágenes a través de sistemas de videovigilancia en la compañía. se realiza
    en cumplimiento con la Ley 1581 de 2012 (Ley de Habeas Data), la cual regula el tratamiento de
    datos personales que estén vinculados o puedan asociarse a personas naturales determinadas o
    determinables. Un dato personal incluye cualquier información que pueda identificar a una
    persona, y su tratamiento está sujeto a reglas específicas sobre su recolección, almacenamiento,
    uso, circulación y supresión.

    En este contexto, los objetivos del sistema de videovigilancia en Las empresas
    pertenecientes al El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti
    S.A.S.) son los siguientes:

    a) Capturar imágenes mediante sistemas de CCTV o videovigilancia con fines de seguridad,
    prevención de incidentes, control de accesos, protección de personas, bienes e
    información.

    b) Proporcionar un ambiente de trabajo adecuado para el desarrollo seguro de las
    actividades laborales de la compañía.

    c) Controlar el ingreso, permanencia y salida de trabajadores, visitantes y proveedores y/o
    contratistas en las instalaciones de la empresa.

    Para cumplir con el deber de información que corresponde a Las empresas pertenecientes a El
    Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) como
    administrador de datos personales, la organización implementará Avisos de Privacidad en las
    áreas donde se capturen imágenes que impliquen el tratamiento de datos personales. Según lo
    estipulado por la Ley 1581 de 2012, el tratamiento de estos datos solo puede realizarse con el
    consentimiento previo, expreso e informado del titular, garantizando que el titular siempre pueda
    conocer la ubicación, finalidad y uso de su información personal, así como los medios para su
    actualización y rectificación.

    La información capturada no será objeto de tratamiento por un período superior a sesenta (60)
    días a partir de su recolección, salvo que las circunstancias legales o contractuales exijan un
    manejo diferente. Este plazo podrá variar de acuerdo con los lineamientos contractuales
    establecidos por los clientes de la organización.

    6.6. Finalidades Tratamiento de datos personales de Cliente

    a) Realización de gestiones necesarias para las etapas precontractual, contractual y pos
    contractual, asegurando el adecuado desarrollo de la relación comercial y el
    cumplimiento de los compromisos adquiridos.

    b) Envío de invitaciones a eventos programados por la empresa en el marco de nuestras
    estrategias de comunicación y mercadeo.

    c) Atender los requerimientos que surjan durante la ejecución del contrato, asegurando el
    manejo responsable, seguro y confidencial de la información de nuestros clientes.

    d) Cumplir con las obligaciones derivadas del contrato, incluyendo el envío y recolección de
    documentos físicos, su correcta custodia, la gestión de garantías y el cumplimiento de los
    acuerdos de nivel de servicio establecidos.

    e) Revisar y gestionar los casos en los que se presenten posibles incumplimientos entre las
    partes, relacionados con los acuerdos de nivel de servicio o con las condiciones
    contractuales.

    6.7. Finalidades Tratamiento de datos personales de Titulares Cartera Propia

    a) Realización de gestiones de cobro en todas sus etapas (preventiva, administrativa, pre
    jurídica y jurídica según corresponda) Envío de comunicaciones sobre información de
    interés frente a las obligaciones que se tienen con Las empresas pertenecientes a El
    Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.).

    b) Permitir ambientes de trabajo adecuados para el desarrollo seguro de actividades
    laborales de los procesos de la compañía.

    c) Actualización de información en centrales de información financiera.

    d) Atención de solicitudes, consultas, emisión de certificaciones sobre estado de deuda,
    paz y salvo y demás que se requieran frente a la obligación.

    e) Atención sobre PQRS sobre la obligación, gestión y objeto de la relación entre el
    titular con El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti
    S.A.S.).

    f) Actualización de información sobre el estado de la obligación.

    g) Uso de la información para trámites judiciales.

    h) Disponer de la información para atender y cumplir todos los requerimientos de la ley
    aplicable a la organización frente a la gestión de cobranza.

    6.8. Tratamiento de datos sensibles

    De acuerdo con la ley 1581 de 2012 la recolección de datos personales sensibles se
    encuentra prohibido, excepto cuando:

    a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que
    por ley no sea requerido el otorgamiento de dicha autorización.

    b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se
    encuentre física o jurídicamente incapacitado. En estos eventos, los representantes
    legales deberán otorgar su autorización.

    c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas
    garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin
    ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se
    refieran exclusivamente a sus miembros o a las personas que mantengan contactos
    regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a
    terceros sin la autorización del Titular.

    6.9. Tratamiento datos niños, niñas y adolescentes

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) no realiza de
    forma directa el tratamiento de datos personales de menores de Edad, sin embargo, en el caso
    que El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) solicite
    datos de los niños, niñas, y adolescentes se asegura los derechos con la autorización previa de
    al menos uno de los representantes legales del menor de edad.

    En todo caso, el tratamiento de dicha información se realizará garantizando de manera
    prevalente el interés superior del niño, niña y adolescente, y asegurando el respeto y la
    protección de sus derechos fundamentales, de conformidad con la Constitución Política, la Ley
    1581 de 2012 y los lineamientos impartidos por la Superintendencia de Industria y Comercio.

    7. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES

    LIQUITTY COLOMBIA S.A.S. y las empresas pertenecientes al grupo (Cobrando S.A.S. y Gesti
    S.A.S.) reconocen que el flujo transfronterizo de datos personales es una realidad operativa
    derivada de las dinámicas propias de la globalización y la economía digital, y se comprometen a
    garantizar que toda transferencia o transmisión internacional de datos personales se realice en
    estricto cumplimiento del artículo 26 de la Ley 1581 de 2012, la Circular Externa No. 003 de 2025
    de la SIC y demás normatividad aplicable.

    7.1. Transferencia internacional de datos personales

    La transferencia internacional de datos personales tiene lugar cuando El Grupo Liquitty
    (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), en calidad de Responsable del
    tratamiento ubicado en Colombia, envía datos personales a un receptor que también actúa como
    Responsable del tratamiento y se encuentra fuera del país.

    La transferencia internacional de datos personales estará permitida cuando:

    a) Se realice a países que proporcionen niveles adecuados de protección de datos personales,
    de acuerdo con la lista publicada y actualizada por la Superintendencia de Industria y
    Comercio.

    b) Se encuentre dentro de las causales de excepción establecidas en el artículo 26 de la Ley
    1581 de 2012, entre las cuales se incluyen:

    – Que el titular haya otorgado su autorización expresa e inequívoca para la transferencia.
    – Que exista un contrato celebrado en interés del titular entre El Grupo Liquitty (LIQUITTY
    COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) y un tercero.
    – Que la transferencia sea legalmente exigida para salvaguardar el interés público.
    – Que la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de un
    derecho en un proceso judicial.
    – Que la transferencia sea necesaria para la prevención o el diagnóstico médico.

    c) Se suscriban Cláusulas Contractuales Modelo (CCM) u otros instrumentos que garanticen
    un nivel de protección equivalente o superior al exigido por la legislación colombiana.

    Antes de realizar cualquier transferencia internacional, El Grupo Liquitty (LIQUITTY COLOMBIA
    S.A.S., Cobrando S.A.S. y Gesti S.A.S.) evaluará internamente si el país de destino se encuentra
    en la lista de países con nivel adecuado de protección, si aplica alguna de las causales de
    excepción del artículo 26 de la Ley 1581 de 2012, y si resulta necesario o conveniente suscribir
    Cláusulas Contractuales Modelo como salvaguarda adicional.

    7.2. Transmisión internacional de datos personales

    La transmisión internacional de datos personales tiene lugar cuando El Grupo Liquitty (LIQUITTY
    COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), en calidad de Responsable del tratamiento
    ubicado en Colombia, envía datos personales a un Encargado del tratamiento que se encuentra
    fuera del país, para que este realice actividades de tratamiento por cuenta y bajo las
    instrucciones del Responsable.

    Para la transmisión internacional de datos personales, El Grupo Liquitty (LIQUITTY COLOMBIA
    S.A.S., Cobrando S.A.S. y Gesti S.A.S.) celebrará un contrato escrito con el Encargado ubicado
    en el exterior que establezca, como mínimo:

    a) Las finalidades específicas del tratamiento encomendado.
    b) Las instrucciones sobre el alcance y los límites del tratamiento.
    c) Las medidas de seguridad administrativas, técnicas y físicas que deberá implementar el
    Encargado.
    d) La obligación de confidencialidad.
    e) La obligación de notificación de incidentes de seguridad.
    f) Las condiciones para la devolución o supresión segura de los datos al finalizar la relación
    contractual.
    g) El sometimiento a la supervisión de la SIC como autoridad de control competente.

    Cuando la transmisión se realice a un país que no esté en la lista de países con nivel adecuado
    de protección, se podrán suscribir las CCM (Acuerdo Modelo II entre Responsable y Encargado)
    como mecanismo adicional de garantía.

    7.3. Cláusulas Contractuales Modelo (CCM)

    En cumplimiento de las instrucciones impartidas por la SIC mediante la Circular Externa No. 003
    de 2025, El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.)
    adopta como herramienta para facilitar el cumplimiento normativo las Cláusulas Contractuales
    Modelo (CCM) aprobadas por la Red Iberoamericana de Protección de Datos (RIPD), en sus dos
    modalidades:

    a) Acuerdo Modelo I – Transferencia entre Responsable y Responsable: Aplicable cuando El
    Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) transfiera
    datos personales a otro Responsable ubicado fuera de Colombia.

    b) Acuerdo Modelo II – Transmisión entre Responsable y Encargado: Aplicable cuando El
    Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) transmita
    datos personales a un Encargado ubicado fuera de Colombia. En este modelo, cuando el
    instrumento jurídico emplee de manera indistinta el término “transferencia” se entenderá
    como “transmisión”, sin que esto altere la clasificación jurídica del tratamiento ni las
    obligaciones propias del Responsable y del Encargado.

    La suscripción de las CCM es facultativa y no excluye otros mecanismos de cumplimiento. Sin
    embargo, una vez suscritas, El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S.
    y Gesti S.A.S.) se obliga a su cumplimiento integral. Las CCM no sustituyen la verificación de
    las excepciones del artículo 26 de la Ley 1581 de 2012, sino que se integran como salvaguarda
    adicional. En caso de contradicción entre las CCM y la legislación colombiana, prevalecerá el
    marco jurídico colombiano.

    Las CCM podrán ser complementadas con deberes, obligaciones o garantías adicionales que
    impliquen un nivel igual o superior de protección para los titulares, sin que tales ajustes puedan
    entenderse como una disminución o flexibilización de las salvaguardas legales aplicables.

    7.4. Transferencias ulteriores

    Cuando un Importador de datos pretenda comunicar los datos personales recibidos a un tercero
    ubicado fuera de la jurisdicción del Exportador de datos, dicha operación constituye una
    transferencia ulterior y solo podrá realizarse cuando:

    a) El tercero destinatario esté vinculado por las mismas CCM o consienta someterse a estas.

    b) La transferencia ulterior se dirija a un país con nivel adecuado de protección reconocido por
    la SIC.

    c) El tercero aporte garantías adecuadas conforme a la legislación colombiana.

    d) El tercero suscriba un instrumento vinculante que garantice el mismo nivel de protección.

    e) Sea necesaria para la formulación, ejercicio o defensa de reclamaciones en procedimientos
    judiciales o administrativos.

    f) Sea necesaria para proteger intereses vitales del titular.

    g) El Importador haya recabado el consentimiento expreso del titular, previa información sobre
    la finalidad, la identidad del destinatario y los posibles riesgos.

    Toda transferencia ulterior estará sujeta al cumplimiento del principio de finalidad y las demás
    garantías previstas en las CCM y la legislación colombiana.

    7.5. Subencargados del tratamiento

    Cuando un Encargado del tratamiento ubicado fuera de Colombia pretenda contratar a un
    subencargado para realizar actividades específicas de tratamiento por cuenta de El Grupo
    Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), deberá:

    a) Contar con la autorización previa y específica por escrito de El Grupo Liquitty (LIQUITTY
    COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.), o con una autorización general que
    incluya una lista de subencargados previamente acordada, con la obligación de informar
    con al menos quince (15) días hábiles de antelación cualquier adición o sustitución, para
    que El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.)
    pueda formular objeciones.

    b) Celebrar un contrato escrito con el subencargado que establezca, en esencia, las mismas
    obligaciones de protección de datos impuestas al Encargado, especialmente en lo referente
    a los derechos de los titulares.

    c) El Encargado seguirá siendo plenamente responsable ante El Grupo Liquitty (LIQUITTY
    COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) por el cumplimiento de las
    obligaciones del subencargado y deberá notificar cualquier incumplimiento.

    d) El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) se reserva
    el derecho de solicitar copia del contrato celebrado con el subencargado para verificar que
    las garantías de protección sean equivalentes.

  • 8. DERECHOS DE LOS TITULARES

    Los Titulares de datos personales gozarán de los siguientes derechos, y de aquellos que les
    otorgue la ley:

    a) Acceder de forma gratuita a los datos proporcionados que hayan sido objeto de
    tratamiento.

    b) Conocer, actualizar y rectificar sus datos personales frente al responsable del
    tratamiento o Encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente
    a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos
    cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

    c) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo
    cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad
    con lo previsto en el artículo 10 de la ley.

    d) Ser informado por el responsable del tratamiento o el Encargado del tratamiento, previa
    solicitud, respecto del uso que les ha dado a sus datos personales.

    e) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a
    lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.

    f) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se
    respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o
    supresión procederá cuando la Superintendencia de Industria y Comercio haya
    determinado que en el tratamiento el responsable o Encargado han incurrido en
    conductas contrarias a la ley y a la Constitución.

    g) Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter
    facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas y
    niños y adolescentes.

    h) Cuando sus datos personales sean objeto de transferencia o transmisión internacional,
    solicitar gratuitamente una copia del acuerdo o instrumento jurídico que formalice dicha
    operación, sin perjuicio de que puedan excluirse secciones que contengan secretos comerciales o
    información confidencial de terceros.

    i) Conocer la identidad de los destinatarios o las categorías de destinatarios cuando El Grupo
    Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) realice
    transferencias ulteriores de sus datos personales a terceros ubicados fuera de Colombia.

    j) Oponerse al tratamiento de sus datos personales cuando este tenga por objeto la
    mercadotecnia directa, incluida la elaboración de perfiles en la medida que esté relacionada con
    dicha actividad.

    k) No ser objeto de decisiones basadas únicamente en tratamientos automatizados de datos
    personales que produzcan efectos jurídicos o le afecten de manera significativa, salvo las
    excepciones previstas en la ley. En caso de que dicha decisión se tome con base legal o
    consentimiento, el titular tendrá derecho a recibir una explicación sobre la decisión, a ser oído y
    expresar su punto de vista, y a obtener intervención humana.

    l) Invocar, como tercero beneficiario, las cláusulas de los acuerdos de transferencia o
    transmisión internacional suscritos por El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S.,
    Cobrando S.A.S. y Gesti S.A.S.) basados en Cláusulas Contractuales Modelo y exigir su
    cumplimiento al Exportador y/o al Importador de datos.

    m) Presentar reclamaciones ante la Superintendencia de Industria y Comercio como autoridad
    de control competente, o ante la autoridad de protección de datos de su país de residencia
    habitual, cuando sus datos hayan sido objeto de transferencia internacional.

    9. DEBERES COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

    Como responsable del tratamiento de datos personales, cumplirá los siguientes deberes:

    a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
    hábeas data.

    b) Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva
    autorización otorgada por el Titular.

    c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le
    asisten por virtud de la autorización otorgada.

    d) Conservar la información bajo las condiciones de seguridad necesarias para impedir
    su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

    e) Garantizar que la información que se suministre al Encargado del tratamiento sea veraz,
    completa, exacta, actualizada, comprobable y comprensible.

    f) Actualizar la información, comunicando de forma oportuna al Encargado del
    tratamiento, todas las novedades respecto de los datos que previamente le haya
    suministrado y adoptar las demás medidas necesarias para que la información
    suministrada a este se mantenga actualizada.

    g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado
    del tratamiento.

    h) Suministrar al Encargado del tratamiento, según el caso, únicamente datos cuyo
    tratamiento esté previamente autorizado de conformidad con lo previsto en la presente
    ley.

    i) Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de
    seguridad y privacidad de la información del Titular.

    j) Tramitar las consultas y reclamos formulados en los términos señalados en la Ley
    Estatutaria 1581 de 2012.

    k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
    cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

    l) Informar al Encargado del tratamiento cuando determinada información se encuentra
    en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya
    finalizado el trámite respectivo.

    m) Informar a solicitud del Titular sobre el uso dado a sus datos.

    n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los
    códigos de seguridad y existan riesgos en la administración de la información de los
    Titulares.

    o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
    Industria y Comercio.

    p) Verificar, antes de realizar cualquier transferencia o transmisión internacional de
    datos personales, si el país de destino se encuentra en la lista de países con nivel
    adecuado de protección publicada por la SIC, o si aplica alguna de las excepciones del
    artículo 26 de la Ley 1581 de 2012, y documentar dicha evaluación.

    q) Suscribir, cuando corresponda, las Cláusulas Contractuales Modelo (CCM) conforme
    a la Circular Externa No. 003 de 2025 de la SIC, y garantizar su cumplimiento integral una
    vez suscritas.

    r) Garantizar que los contratos celebrados con Encargados del tratamiento ubicados
    fuera de Colombia establezcan obligaciones equivalentes a las previstas en la legislación
    colombiana y en las CCM.

    s) Notificar a la Superintendencia de Industria y Comercio, a los titulares afectados y a
    las contrapartes contractuales cualquier vulneración de seguridad de datos personales,
    dentro de los plazos y con el contenido mínimo establecidos en la sección de Gestión de
    Incidentes de la presente política.

    t) Documentar y conservar evidencia de todas las transferencias y transmisiones
    internacionales realizadas, incluyendo los instrumentos jurídicos que las formalizan, las
    evaluaciones previas y las medidas de seguridad acordadas.

    u) Abstenerse de realizar tratamientos automatizados de datos personales que tengan
    como efecto la discriminación de los titulares por razón de su origen racial o étnico,
    convicciones religiosas, afiliación sindical, opiniones políticas, datos de salud, preferencia
    u orientación sexual, datos genéticos o biométricos.

    10. DEBERES COMO ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES

    a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
    data.

    b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
    adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento

    c) Realizar oportunamente la comunicación al responsable de los datos de su titular con
    respecto a la actualización, rectificación o supresión de los datos en los términos de la
    presente ley, rectificación o supresión de los datos del comunicando.

    d) Durante el proceso de la prestación del servicio el titular puede actualizar información,
    para ello aplicará las medidas correspondientes para recolectar la autorización y
    posteriormente notificar al responsable del tratamiento para la actualización de la
    información.

    e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos
    señalados de acuerdo con lo establecido por la Ley, notificando oportunamente al
    responsable del tratamiento.

    f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
    cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por
    parte de los Titulares, para lo cual dispone de un Procedimiento para la atención de PQR.

    g) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
    bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

    h) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a
    ella.

    i) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones
    a los códigos de seguridad y existan riesgos en la administración de la información de los
    Titulares.

    j) Reportar oportunamente al responsable del tratamiento de datos cuando se identifique un
    incidente de seguridad relacionado con datos personales.

    k) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
    Comercio.

    l) Este no se incluiría dado que ya se menciona en el control de ingreso.

    m) Enviar comunicaciones que previamente han sido autorizadas por el responsable del
    tratamiento de los datos de acuerdo con la prestación del servicio que se tiene
    contractualmente

    n) Desarrollar todas aquellas actividades establecidas contractualmente con el responsable
    del tratamiento; de acuerdo con la finalidad del tratamiento de los datos.

    o) Durante el proceso de la prestación del servicio el titular puede actualizar información,
    para ello aplicará las medidas correspondientes para recolectar la autorización y
    posteriormente notificar al responsable del tratamiento para la actualización de la
    información.

    p) Hacer uso de las bases de datos vigentes suministradas por el responsable del
    tratamiento de los datos para disponer de información actualizada.

    q) Cuando la prestación del servicio lo requiera y se haya establecido contractualmente con el
    responsable del tratamiento, se realizan consultas del reporte de centrales de información
    crediticia.

    r) Realizar encuestas y/o sondeos de opinión sobre los servicios de la compañía, para
    evaluar la calidad de los servicios.

    s) Dar tratamiento a los datos personales de acuerdo con la ley y normatividad aplicable.

    t) Realizar informes sobre el resultado de la gestión realizada al responsable del tratamiento.

    v) Registrar en la base de datos las leyendas “reclamo en trámite” en la forma en que se
    regula en la presente ley.

    W) Insertar en la base de datos la leyenda “información en discusión judicial” una vez
    notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la
    calidad del dato personal.

    x) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
    bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

    11. GESTIÓN DE INCIDENTES Y VULNERACIONES DE SEGURIDAD DE DATOS PERSONALES

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) han
    establecido un procedimiento para la gestión de incidentes de seguridad que afecten datos
    personales, con el objetivo de minimizar el impacto sobre los titulares y dar cumplimiento a
    las obligaciones de notificación previstas en la Ley 1581 de 2012 y en la Circular Externa
    No. 003 de 2025 de la SIC.

    11.1. Identificación y respuesta inmediata

    Ante cualquier vulneración de la seguridad de datos personales (daño, pérdida, alteración,
    destrucción, acceso ilícito o uso no autorizado), el área o colaborador que detecte el
    incidente deberá reportarlo de manera inmediata al Oficial de Protección de Datos o al
    responsable designado por la organización.

    Una vez identificado el incidente, El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando
    S.A.S. y Gesti S.A.S.) adoptará las medidas adecuadas para ponerle remedio y mitigar los
    posibles efectos negativos para los titulares.

    11.2. Documentación del incidente

    Se documentarán todos los hechos pertinentes relacionados con la vulneración, incluyendo:

    a) La naturaleza del incidente.

    b) Las categorías y el número aproximado de titulares afectados.

    c) Las categorías y el número aproximado de registros de datos personales
    comprometidos.

    d) Las consecuencias probables de la vulneración.

    e) Las medidas correctivas adoptadas de forma inmediata.

    f) Las medidas propuestas para prevenir incidentes futuros similares.

    Se llevará un registro actualizado de todos los incidentes de seguridad de datos personales.

    11.3. Notificación a la Superintendencia de Industria y Comercio

    Cuando la vulneración de seguridad represente un riesgo para los derechos y libertades de
    los titulares, El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti
    S.A.S.) notificará a la Superintendencia de Industria y Comercio dentro de los plazos
    establecidos por la normativa vigente, incluyendo la información mínima requerida sobre
    el incidente.

    Asimismo, cuando la vulneración pueda afectar de manera significativa a los titulares,
    se les informará de forma oportuna para que puedan tomar las medidas necesarias para
    proteger sus derechos.

    11.4. Seguimiento y mejora continua

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) realizará
    el seguimiento de los incidentes de seguridad reportados, evaluando la efectividad de las
    medidas adoptadas y fortaleciendo los controles internos para prevenir la ocurrencia de
    nuevos eventos similares.

    12. MODIFICACIÓN DE LAS POLÍTICAS

    El Grupo Liquitty (LIQUITTY COLOMBIA S.A.S., Cobrando S.A.S. y Gesti S.A.S.) se
    reserva el derecho de modificar la presente Política en cualquier momento. No obstante,
    toda modificación será informada oportunamente a los titulares de los datos personales a
    través de los canales de comunicación habituales de la organización.

    13. VIGENCIA

    La presente Política rige a partir de su fecha de aprobación y deroga todas las disposiciones
    anteriores relacionadas con el tratamiento de datos personales en la organización.