![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 32 32"><rect width="32" height="32" rx="6" fill="%2360a5fa"/><text x="16" y="22" font-family="Helvetica" font-size="18" font-weight="700" fill="%230b1e3f" text-anchor="middle">F</text></svg>)
![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 32 32"><rect width="32" height="32" rx="6" fill="%230b1e3f"/><text x="16" y="22" font-family="Helvetica" font-size="18" font-weight="700" fill="%2360a5fa" text-anchor="middle">F</text></svg>)
Appearance
03.2 — PROCEDIMIENTO DE AUTORIZACIÓN Y REVOCATORIA DE TRATAMIENTO DE DATOS PERSONALES
Código: PDP-002 Versión: 1.0 — 16 de abril de 2026 Aprobado por: Oficial de Protección de Datos (DPO) Vigencia: 24 meses
Soporta las preguntas P9 y P10 de los Due Diligence.
1. Objetivo
Definir el mecanismo por el cual Fintrixs S.A.S. solicita, registra, conserva y permite revocar la autorización previa, expresa e informada para el tratamiento de datos personales, conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013.
2. Principios
- Libertad: el titular decide si autoriza el tratamiento.
- Previa: la autorización se obtiene antes de recolectar los datos.
- Expresa: mediante acción inequívoca (clic, firma, marca).
- Informada: el titular conoce finalidades, receptores, derechos y canales.
3. Canales y momentos de captura
| Canal | Momento | Mecanismo |
|---|---|---|
Sitio web fintrixs.com | Registro / formulario de contacto | Checkbox no premarcado + enlace a la política |
| App / Dashboard | Onboarding KYC/KYB | Pantalla dedicada con texto y botón "Autorizo" |
| APIs de comercios | Integración pasarela | Header X-Consent-Version + evidencia en payload |
| Contratos físicos / digitales | Vinculación formal de subcomercios | Cláusula de autorización + firma electrónica certificada |
| Telefónico (call-back) | Atención excepcional | Grabación con aceptación verbal + envío posterior de correo de confirmación |
4. Información obligatoria en el aviso de privacidad
- Identificación del Responsable (Fintrixs S.A.S. — NIT 901.994.194-3).
- Finalidades del tratamiento.
- Carácter facultativo de las respuestas (cuando proceda) y datos sensibles.
- Derechos del titular (conocer, actualizar, rectificar, suprimir, revocar, acceder, oponerse).
- Canales de atención (correo, URL, teléfono).
- Transferencia / transmisión internacional (si aplica).
- Enlace a la Política de Tratamiento de Datos Personales y Privacidad v2.1.
5. Registro de evidencias de autorización
Cada autorización se almacena con:
- ID del titular (hash seudonimizado).
- Timestamp ISO 8601 (UTC).
- IP y user-agent.
- Versión del aviso de privacidad y de la política aceptadas.
- Canal de captura.
- Hash SHA-256 del texto aceptado.
- Enlace al documento (si es firma electrónica certificada).
El registro se conserva por el mismo tiempo que el dato autorizado más los términos de prescripción aplicables, con un mínimo de 5 años tras la terminación de la relación.
6. Revocatoria de la autorización
6.1. Canales disponibles 24/7
- Correo a
cumplimiento@fintrixs.com(canal único — enrutamiento interno al DPO). - Formulario web en
https://fintrixs.com/privacidad/revocatoria. - Teléfono corporativo en horario hábil.
- Dentro de la app / dashboard del comercio, opción "Gestionar privacidad".
6.2. Flujo
- Recepción: se genera ticket único con clasificación PDP.
- Validación de identidad: por datos mínimos, token OTP o sesión autenticada.
- Evaluación de obligaciones legales vigentes: si existen (ej. deber de conservación transaccional), se informa al titular la imposibilidad parcial y la permanencia de los datos hasta cumplimiento del deber legal.
- Ejecución técnica: emisión del evento
fintrixs.privacy.authorization_revokedconsumido por todos los servicios poseedores; supresión o seudonimización efectiva. - Respuesta al titular: en máximo 10 días hábiles (SIC: 15 días; plazo interno reducido).
- Auditoría: registro en
admin-audit-servicecon evidencia inmutable.
6.3. Excepciones aceptadas
- Obligación legal de conservación (tributario, LAFT).
- Ejecución de un contrato vigente (si la revocatoria impediría el servicio, se termina la relación comercial y se procede a suprimir al cumplir los deberes legales).
- Disputa transaccional en curso.
7. Renovación / reautorización
- Cuando se modifiquen las finalidades o se adicione alguna, se requiere nueva autorización con el versionamiento del aviso.
- Se notifica por el canal principal registrado al menos 15 días antes del cambio.
8. Responsable interno
- DPO / Oficial de Protección de Datos:
cumplimiento@fintrixs.com(canal único con enrutamiento interno) — gestiona controversias, audita procedimientos y reporta al Representante Legal. - Equipo de Cumplimiento: ejecuta el procedimiento día a día.
9. Sanciones por incumplimiento interno
El incumplimiento del procedimiento por parte de empleados o contratistas se considera falta grave sujeta a las acciones disciplinarias establecidas en el Reglamento Interno de Trabajo y a la responsabilidad civil/penal aplicable.