POLITICA DE TRATAMIENTO DE DATOS PERSONALES

Ultima actualizacion: 13 de mayo de 2026

1. RESPONSABLE E IDENTIFICACION

KONTINUA GROUP S.A.S.
NIT: 901.691.766
Domicilio: Medellin, Antioquia, Colombia
Correo electronico: privacidad@kontinuagroup.com
Pagina web: https://www.kontinuagroup.com

KONTINUA GROUP S.A.S. (en adelante "KONTINUA") actua como Encargado del Tratamiento de los datos personales procesados a traves de la plataforma FINFA. La Entidad Contratante (banco, entidad financiera u organizacion que contrata los servicios de FINFA) actua como Responsable del Tratamiento conforme a la Ley 1581 de 2012.

2. MARCO NORMATIVO

Esta Politica se rige por:

(a) Constitucion Politica de Colombia, articulo 15 (derecho a la intimidad y habeas data);

(b) Ley Estatutaria 1581 de 2012 (Proteccion de Datos Personales);

(c) Decreto 1377 de 2013 (reglamentario de la Ley 1581, compilado en el Decreto 1074 de 2015);

(d) Ley 1266 de 2008 (Habeas Data Financiero);

(e) Decreto 338 de 2022 (Registro Nacional de Bases de Datos); y

(f) Circular Externa 005 de 2017 de la SIC (transferencia internacional de datos).

3. PRINCIPIOS DEL TRATAMIENTO

KONTINUA aplica los siguientes principios en el tratamiento de datos personales:

(a) Legalidad: el tratamiento se realiza conforme a la ley y con la autorizacion del titular o por mandato legal;

(b) Finalidad: los datos se tratan para los fines especificos, explicitos y legitimos informados al titular;

(c) Libertad: el tratamiento requiere consentimiento previo, expreso e informado del titular, salvo excepcion legal;

(d) Veracidad: la informacion debe ser veraz, completa, exacta, actualizada y comprobable;

(e) Transparencia: el titular tiene derecho a obtener informacion sobre la existencia de datos que le conciernan;

(f) Acceso y circulacion restringida: los datos solo son accesibles para quienes estan autorizados;

(g) Seguridad: se implementan medidas tecnicas, humanas y administrativas para proteger los datos; y

(h) Confidencialidad: las personas que intervienen en el tratamiento estan obligadas a guardar reserva.

4. DATOS PERSONALES QUE SE TRATAN

4.1. Usuarios de la Plataforma

Nombre completo, correo electronico institucional, cargo, departamento; credenciales de acceso (hash de contrasena, secreto MFA — nunca en texto claro); direccion IP, fecha y hora de acceso, acciones realizadas; identificador de Microsoft Entra ID (cuando se usa SSO).

4.2. Sujetos de Recoleccion

Nombre y correo electronico (proporcionados por la Entidad Contratante al generar el enlace de recoleccion); direccion IP desde la que se descarga el Agente y se sube la evidencia; metadatos forenses del equipo de computo: nombre de usuario del sistema operativo, historial de navegacion (URLs), nombres de servicios y aplicaciones, metadatos de credenciales almacenadas (sin contrasenas ni tokens).

NO se recolectan: contrasenas, contenido de archivos personales, mensajes privados, datos biometricos ni contenido de comunicaciones.

4.3. Datos sensibles

KONTINUA no recolecta intencionalmente datos sensibles (origen racial, orientacion politica, convicciones religiosas, datos de salud, orientacion sexual, datos biometricos). Si durante la recoleccion forense se detectan datos sensibles incidentalmente, estos seran tratados con las garantias reforzadas del articulo 6 de la Ley 1581 de 2012.

5. FINALIDADES DEL TRATAMIENTO

Los datos personales seran tratados para:

(a) Ejecutar la investigacion forense digital autorizada por la Entidad Contratante;

(b) Generar informes periciales y analisis de evidencia;

(c) Administrar cuentas de usuario, autenticacion y control de acceso;

(d) Mantener registros de auditoria y cadena de custodia de la evidencia;

(e) Cumplir obligaciones legales, regulatorias y de cooperacion con autoridades judiciales;

(f) Enviar notificaciones relacionadas con el servicio (correos transaccionales); y

(g) Mejorar la Plataforma mediante datos anonimizados y agregados que no permitan identificar personas.

6. AUTORIZACION

6.1. Usuarios de Plataforma

La autorizacion se obtiene mediante la aceptacion expresa de los Terminos y Condiciones de Uso y de esta Politica al momento de activar la cuenta en la Plataforma. El registro de la aceptacion incluye fecha, hora, direccion IP y version de los documentos aceptados.

6.2. Sujetos de Recoleccion

La autorizacion se obtiene mediante la aceptacion expresa en la pagina de recoleccion, donde el Sujeto debe marcar la casilla de consentimiento informado antes de descargar el Agente. Adicionalmente, cuando la Entidad Contratante lo configure, se requerira verificacion de identidad mediante codigo OTP enviado al correo electronico.

6.3. Excepciones al consentimiento

El tratamiento podra realizarse sin autorizacion del titular en los casos previstos por el articulo 10 de la Ley 1581 de 2012.

7. DERECHOS DE LOS TITULARES

Conforme al articulo 8 de la Ley 1581 de 2012, los titulares tienen derecho a:

(a) Conocer: acceder a sus datos personales que hayan sido objeto de tratamiento;

(b) Actualizar: solicitar la actualizacion de datos incompletos, inexactos o desactualizados;

(c) Rectificar: corregir informacion parcial, inexacta o que induzca a error;

(d) Solicitar supresion: pedir la eliminacion de datos cuando no se respeten los principios legales;

(e) Revocar la autorizacion: revocar el consentimiento otorgado para el tratamiento, en cualquier momento;

(f) Presentar quejas: formular quejas ante la Superintendencia de Industria y Comercio; y

(g) Acceder gratuitamente: consultar los datos personales al menos una vez al mes de forma gratuita.

8. PROCEDIMIENTO PARA EJERCER DERECHOS

8.1. Canal de atencion

Correo electronico: privacidad@kontinuagroup.com
Asunto: "Derechos del titular — [Consulta/Reclamo] — [nombre del titular]"

8.2. Requisitos de la solicitud

(a) Nombre completo y documento de identidad del titular;
(b) Descripcion de los hechos y datos personales objeto de la solicitud;
(c) Direccion de contacto y documentos que soporten la solicitud; y
(d) Copia del documento de identidad.

8.3. Plazos de respuesta

(a) Consultas: diez (10) dias habiles siguientes a la recepcion, prorrogables por cinco (5) dias habiles adicionales.

(b) Reclamos: quince (15) dias habiles siguientes a la recepcion, prorrogables por ocho (8) dias habiles adicionales.

8.4. Autoridad de control

Si la respuesta no es satisfactoria, el titular podra presentar queja ante la Superintendencia de Industria y Comercio — Delegatura para la Proteccion de Datos Personales: www.sic.gov.co — Linea gratuita: 018000-910165.

9. SEGURIDAD DE LA INFORMACION

KONTINUA implementa medidas tecnicas, humanas y administrativas:

(a) Cifrado en transito (HTTPS/TLS 1.2+);
(b) Autenticacion multifactor (TOTP);
(c) Hash bcrypt para contrasenas;
(d) Control de acceso basado en roles;
(e) Aislamiento de bases de datos por Entidad Contratante;
(f) Registros de auditoria inmutables;
(g) Verificacion de integridad de evidencia (SHA-256);
(h) Limitacion de tasa contra ataques de fuerza bruta; e
(i) Evaluaciones periodicas de vulnerabilidades.

10. TRANSFERENCIA E INTERCAMBIO DE DATOS

10.1. Transferencias nacionales

Los datos se comparten unicamente con la Entidad Contratante que ordeno la investigacion. No se comparten con terceros nacionales salvo requerimiento judicial o administrativo.

10.2. Transferencias internacionales

Cuando se utilicen servicios de inteligencia artificial ubicados fuera de Colombia, la transferencia se realizara bajo las garantias del articulo 26 de la Ley 1581 de 2012. Los datos enviados a proveedores de IA consisten exclusivamente en resumenes estadisticos anonimizados que no constituyen datos personales.

11. CONSERVACION Y ELIMINACION

(a) Durante la vigencia del contrato con la Entidad Contratante;
(b) Cinco (5) anos posteriores a la terminacion, conforme a obligaciones legales de conservacion; y
(c) Eliminacion segura e irreversible al vencimiento del periodo de conservacion.

12. REGISTRO NACIONAL DE BASES DE DATOS

KONTINUA inscribe y mantiene actualizadas sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio, conforme al Decreto 338 de 2022.

13. OFICIAL DE PROTECCION DE DATOS

Contacto: privacidad@kontinuagroup.com

El Oficial de Proteccion de Datos es responsable de velar por el cumplimiento normativo, atender consultas y reclamos, coordinar solicitudes de autoridades y gestionar incidentes de seguridad.

13.1. Notificacion de brechas de seguridad

En caso de incidente que comprometa datos personales, KONTINUA evaluara su alcance dentro de las 72 horas siguientes, notificara a la SIC cuando represente un riesgo significativo, informara a los titulares afectados sin dilacion injustificada, y notificara a la Entidad Contratante dentro de 24 horas.

14. VIGENCIA Y MODIFICACIONES

Esta Politica entra en vigencia a partir de la fecha de su publicacion. Las modificaciones seran publicadas en la Plataforma e informadas a los titulares por los medios habituales.

KONTINUA GROUP S.A.S. — NIT 901.691.766 — Medellin, Colombia

Oficial de Proteccion de Datos: privacidad@kontinuagroup.com

Version: 2026-05-13

Terminos y Condiciones de Uso