La presente política de privacidad (en adelante, la “Política de Privacidad”) tiene por objeto regular y proporcionar información

acerca de los tratamientos de datos personales llevados a cabo por Creamfinance Spain, S.L.U. (en adelante, “CREAMFINANCE” o
“nosotros”) de: (i) clientes; (ii) otros terceros cuyos datos podremos tratar en Creamfinance Spain como resultado de la relación que
mantenemos con nuestros clientes, como es el caso de autorizados o representantes legales; (iii) candidatos de empleo; (iv) personas de
contacto de personas jurídicas que quieran establecer relaciones comerciales con la compañía.

Nosotros respetamos la legislación vigente en materia de protección de datos personales, como entidad responsable del tratamiento de
tus datos personales. Las medidas técnicas y organizativas que adoptamos son apropiadas, y cumplen con lo previsto en el Reglamento
(UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(“RGPD”), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales
(“LOPDGDD”).

Tus datos personales sólo serán tratados por CREAMFINANCE, cuando sean adecuados, pertinentes y no excesivos en relación con el
ámbito y las finalidades determinadas explícitas y legítimas para las que se hayan recabado. Para que nos podamos comunicar contigo,
registrarte como cliente y prestarte nuestros servicios, debes facilitarnos datos que sean correctos, completos, exactos y que estén
debidamente actualizados. Recuerda también que, si eres menor de 21 años, no podremos realizar ninguna operación contigo.
Asimismo, si cambias alguno de los datos personales que nos hubieras facilitado, y de manera especial tu dirección postal, correo
electrónico y teléfono de contacto, te rogamos nos lo comuniques tan pronto como sea posible. Si en algún momento consideras que
tus datos son inexactos o incompletos, te pedimos nos lo comuniques lo antes posible a través de nuestros canales de contacto. En caso
contrario, podrás ser responsable de cualquier perjuicio, directo o indirecto, que se pudiera derivar de este incumplimiento.

Ten en cuenta que, el no facilitar los datos personales que te solicitemos o el no aceptar la presente Política de Privacidad, supone la
imposibilidad de procesar tus solicitudes de préstamo. Asimismo, recuerda que en el caso de que nos facilites datos de un tercero,
como pueden ser los de tu representante legal o voluntario, con carácter previo a la comunicación debes obtener su consentimiento, e
informarle sobre los términos relativos al tratamiento de datos personales recogidos aquí.

Te recomendamos que leas detalladamente esta Política de Privacidad antes de realizar la solicitud de préstamo, así como te sugerimos
que visites regularmente este documento, por tal de estar al corriente de la última versión que se haya publicado. Si tienes cualquier
duda, puedes contactar con nuestro Delegado de Protección de Datos a través del correo electrónico indicado más abajo.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable del Tratamiento CREAMFINANCE SPAIN, S.L.U. N.I.F.: B71087472, sociedad inscrita en el Registro Mercantil
de Barcelona, Tomo 46324 Folio 155 Hoja B516513, Inscripción 11ª. Dirección: C/ Aribau 112, 1º
1ª (08036 Barcelona). Contacto del Delegado de Protección de Datos: dpo@creditosi.es

Finalidades del Tratamiento
Atención de consultas, dudas y reclamaciones legales; gestión de alta de usuarios y
administración del área personal; Contratación de préstamos, y gestión de la relación
contractual; prevención del blanqueo de capitales, y cumplimiento del resto de nuestras
obligaciones legales; prevención del fraude; gestión y desarrollo de negocio; envío de
comunicaciones con finalidades comerciales, publicitarias y de marketing; envío de encuestas y
estudios de mercado; comunicación de datos a socios comerciales con los que mantenemos
acuerdos de colaboración; gestión de procesos de selección de personal; administración de los
perfiles oficiales en redes sociales

1 / 15
Toma de decisiones Sí
individuales automatizadas,
incluida la elaboración de
perfiles

Legitimación La base legal que nos habilita para tratar tus datos varía en función de la finalidad de cada
tratamiento, que en función de ello podrá ser: el consentimiento (Art. 6.1, a, RGPD); la ejecución
de un contrato o la aplicación de medidas precontractuales (Art. 6.1, b, RGPD); el
cumplimiento de nuestras obligaciones legales (Art. 6.1, c, RGPD); o nuestro interés legítimo
(Art. 6.1, f, RGPD)

Destinatarios Compartiremos tus datos con prestadores de servicios que nos ayudan o dan soporte, en la medida
en que sea necesario para que nosotros podamos prestarte nuestros servicios. También podrán
transmitirse tus datos a plataformas de crowdlending de inversión donde operamos, a ficheros
de solvencia crediticia, a terceros que hayan comprado nuestra cartera de créditos, o a
nuestros socios comerciales para que te realicen ofertas de financiación. De igual manera,
empresas del Grupo Creamfinance podrán tener acceso a datos personales. Finalmente, ten en
cuenta que, en cumplimiento de nuestras obligaciones legales, podremos comunicar tus datos a las
Administraciones Públicas, a las Fuerzas y Cuerpos de Seguridad del Estado, y a Jueces y
Tribunales.

Se pueden realizar transferencias de datos a países fuera del Espacio Económico Europeo.

Derechos Podrás ejercer gratuitamente tus derechos de acceso, rectificación o supresión, limitación del
tratamiento, oposición, portabilidad, a no ser objeto de una decisión únicamente basada en el
tratamiento automatizado, o retirar tu consentimiento; poniéndote en contacto con nosotros de
acuerdo con las instrucciones que se indican en la sección “¿Cuáles son tus derechos y cómo puedes
ejercerlos?”.

INFORMACIÓN ADICIONAL SOBRE PROTECCIÓN DE DATOS

Tabla de contenidos:

1. ¿Quién es el responsable del tratamiento de tus datos personales?

2. ¿Qué datos obtenemos de ti?

3. ¿Para qué, y con qué legitimación tratamos tus datos personales?

4. ¿Durante cuánto tiempo conservamos tus datos?

5. ¿A qué destinatarios podemos comunicar tus datos?

2 / 15
6. ¿Qué compañías forman parte del Grupo Creamfinance?

7. ¿Cómo protegemos tu información?

8. ¿Cuáles son tus derechos y cómo puedes ejercerlos?

9. Reclamaciones ante la Autoridad de Protección de Datos

10. Modificaciones de la Política de Privacidad

1. ¿Quién es el responsable del tratamiento de tus datos personales?

CREAMFINANCE SPAIN, S.L.U.

N.I.F.: B71087472, inscrita en el Registro Mercantil de Barcelona, Tomo 46324 Folio 155 Hoja B516513, Inscripción 11ª.

Dirección: C/ Aribau 112, 1º 1ª (08036 Barcelona).

Soporte telefónico: +34 930 185 200

E-mail: legal@creditosi.com

Puedes ponerte en contacto con nuestro Delegado de Protección de Datos a través de la siguiente dirección de correo
electrónico: dpo@creditosi.es

2. ¿Qué datos obtenemos de ti?

Nosotros recogemos tus datos personales cuando:

Nos los proporcionas tú directamente a través de nuestra página web, por correo postal, por correo electrónico, por mensajería
instantánea, por teléfono, o por cualquier otro medio electrónico que sea procedente; y normalmente eso ocurre al solicitarnos
información o realizar consultar sobre nuestros productos, enviarnos reclamaciones, y/o al cursar tus solicitudes de préstamo o
durante el curso de la relación contractual si tu préstamo es aprobado; así como también o cuando participas en concursos,
promociones, encuestas, o realizas cualquier tipo de actividad con nosotros en nuestras redes sociales oficiales.

Nos los proporcionan terceros proveedores de servicios, o las propias Administraciones Públicas, las Fuerzas y Cuerpos de
Seguridad del Estado, o Jueces y Tribunales en el ejercicio de sus funciones.

Podemos recurrir a fuentes accesibles al público, tales como: Guías telefónicas o registros públicos, como el Instituto Nacional
de Estadística, el Registro Mercantil, el Registro de la Propiedad y el Catastro.

Realizas cualquier otra operación o transacción con nosotros.

Entre los terceros que nos proporcionan datos, se incluyen los titulares de los ficheros comunes de solvencia patrimonial y crédito, que
nos entregan información que nos permite evaluar tu capacidad de pago; las compañías que nos prestan servicios de verificación de la
identidad de los clientes y que facilitan el acceso a tu banca online; las entidades que nos proporcionan servicios para la prevención del
fraude; los socios comerciales que se encargan de los servicios de pago, de redes publicitarias y de marketing; o las compañías que nos
entregan información para la prevención del blanqueo de capitales y de la financiación del terrorismo. También, si optas a alguna
posición abierta para trabajar en la compañía, podremos recibir tus datos de plataformas de empleo que colaboran con nosotros en la
búsqueda de candidatos (portales externos o consultorías de empleo), y que nos los envían para que valoremos tu candidatura y
podamos, eventualmente, proceder con tu contratación.

Asimismo, te informamos que nosotros pertenecemos a la Asociación Española de Micropréstamos (AEMIP), entidad que tiene el
objetivo de llevar a cabo un ejercicio de protección del sector de los micropréstamos. La AEMIP dispone del llamado ‘Fichero de
Autoprotección’, que permite a cualquier persona inscribirse para protegerse de un endeudamiento excesivo o indeseado. Por ello,
nosotros podremos recibir los datos personales de las personas incluidas en este fichero, con el objetivo de impedir la concesión de un

3 / 15
préstamo por nuestra parte durante un periodo de dos años desde la fecha de inclusión.

Por otro lado, si te has inscrito en la Lista Robinson de exclusión publicitaria, podremos realizar una consulta a la misma antes de llevar
a cabo nuestras comunicaciones comerciales para saber si estás o no inscrito.

En otras ocasiones, proveedores de servicios de información y comparación de productos financieros (comparadores de préstamos)
también pueden compartir datos con nosotros, con tu consentimiento, para tramitar tus solicitudes de préstamo que hayas iniciado con
ellos. Si bien, en ocasiones, los datos que compartan con nosotros serán datos anonimizados, en otras situaciones nos proporcionan
datos como tu número de teléfono, email, dirección, ingresos, o tu D.N.I. / N.I.E., para que podamos comprobar nuestras bases de datos
internas, y así personalizar tu oferta comercial.

De igual manera, CREAMFINANCE podrá tratar aquella información a la que pudiera acceder por ser información accesible
legítimamente al público, y en especial, aquella información pública que esté a disposición en registros oficiales. En cualquier caso,
este tratamiento sólo se llevará acabo si media una base legítima de las tasadas en la normativa aplicable y, siempre que sea posible o
medie una relación contractual, serás informado.

También recabamos automáticamente datos técnicos o de comportamiento a través de tu navegación en este sitio web o en el de
terceros, mediante la instalación de cookies u otras tecnologías o dispositivos de seguimiento, tal y como se detalla en la
correspondiente Política de Cookies.

Todos estos datos personales son necesarios para atender tu petición, prestarte nuestros servicios y/o cumplir con el resto de las
finalidades que se indican en la Política de Privacidad.

Tipología de datos personales que tratamos

Dependiendo de las finalidades y de las actividades de tratamiento, podremos tratar los siguientes datos:

Información identificativa y de contacto: nombre y apellidos, DNI o NIE, email, domicilio, dirección IP, teléfono de contacto,
voz.
Información bancaria: número de cuenta bancaria, y datos de la tarjeta de débito o crédito.
Datos sobre empleo: profesión, vida laboral, cotizaciones a la Seguridad Social, puesto de trabajo, historial del trabajador, y
datos no económicos de nómina.
Datos financieros: datos económicos de nómina, historial de transacciones bancarias (ingresos y gastos) obtenido a través del
acceso a la banca online.
Datos sobre tu solvencia patrimonial y posible morosidad.
Datos de características personales y sociales: fecha y lugar de nacimiento, sexo, nacionalidad, licencia de conducción.
Datos sobre la inclusión de un solicitante de préstamo en el fichero de autoprotección de la AEMIP.
Datos sobre operaciones fraudulentas.
Información derivada de las medidas de diligencia debida adoptadas en cumplimiento de la normativa para la prevención del
blanqueo de capitales y de la financiación del terrorismo.
Datos sobre la inclusión en la Lista Robinson del destinatario de una acción publicitaria.
Datos contractuales de los préstamos.
Datos sobre transacciones de pago realizadas.
Historial de solicitudes de préstamo.
Datos inferidos o generados por fuentes internas, a partir de información que nos hayas facilitado, o que se infieren en virtud de
la relación contractual o de tu interacción en nuestra página web. Se incluyen los datos obtenidos cuando elaboramos perfiles,
según tu modelo de comportamiento de pago y riesgo (scoring crediticio), los derivados de tus hábitos de consumo e intereses, o
de tu situación de pago del préstamo contratado.
Detalles de actividad.
Datos derivados de la fuente de recogida de los datos: si el cliente llega a nuestra web a través de una fuente externa (como sería
por ejemplo un enlace de otra página web o de una red social), registramos los datos de la fuente de la que procede.
Información acerca de las comunicaciones realizadas con nosotros: tendremos acceso a información que los usuarios faciliten
para la resolución de dudas o quejas sobre el uso de la web y de los préstamos, y sobre el seguimiento de tus préstamos a través
de cualquiera de nuestros canales de contacto.
Datos académicos y profesionales en caso de que participes en nuestros procesos de selección: Formación y titulaciones,
experiencia profesional, etc.

También podremos tratar cualquier otro dato personal tuyo si nos lo proporcionas como respuesta a encuestas que enviamos para
estudios de mercado, al participar en nuestros concursos, o si realizas cualquier otro tipo de interacción con nosotros. De igual manera,
te informamos que grabamos nuestras conversaciones por teléfono por motivos de calidad del servicio, y como medio probatorio de la

4 / 15
contratación.

Ten en cuenta que no registramos ni almacenamos en nuestros servidores los datos de la tarjeta de crédito de los clientes, ya que estos
se facilitan a prestadores de servicios de pago electrónico con licencia, que recibirán directamente la información y la almacenarán para
facilitar el proceso de pago. El cliente registrado podrá, en cualquier momento, eliminar los datos de sus tarjetas vinculadas a su cuenta
de usuario.

En ocasiones también puede ocurrir que nos facilites datos de terceros con los que tengas algún tipo de relación. En ese caso,
trataremos esos datos porque entendemos que has informado a estos terceros de esta comunicación de datos y que les has remitido a
esta Política de Privacidad. Sin perjuicio de ello, en el momento en el que tengamos ocasión les informaremos sobre el contenido de
este documento. En otras situaciones, estos terceros, debidamente autorizados, se podrán poner en contacto directamente con nosotros
para realizar gestiones de diversa índole.

Recuerda que, si interactúas con nosotros y lo haces en nombre y representación de una persona jurídica, legítimamente podemos tratar
tus datos de contacto y de tu función o puesto desempeñado en la entidad a la que representas, para tu localización profesional y con la
finalidad exclusivamente de mantener relaciones comerciales con la persona jurídica. Las mismas circunstancias operan para el
tratamiento de datos relativos a empresarios individuales.

Finalmente, de acuerdo con lo establecido en nuestra Política de Cookies, podremos tratar datos del uso de la web y del dispositivo del
usuario: Este tratamiento se basa en el consentimiento a las cookies almacenadas/leídas en el terminal del usuario. Estos datos son:

Dirección IP de Internet que utiliza el usuario para conectarse a Internet con su ordenador o móvil.
Información de su ordenador o móvil, como su conexión a Internet, su tipo de navegador, la versión y el sistema operativo, y el
tipo de dispositivo.
El clickstream completo de localizadores de recursos uniformes (URL), incluyendo la fecha y la hora.
El historial de navegación y las preferencias del usuario.
Datos relacionados con su localización, incluyendo la localización geográfica en tiempo real del ordenador o dispositivo móvil
de los usuarios.

3. ¿Para qué, y con qué legitimación tratamos tus datos personales?

Tus datos personales sólo serán obtenidos por CREAMFINANCE para su tratamiento, cuando sean adecuados, pertinentes y no
excesivos en relación con el ámbito y las finalidades determinadas explícitas y legítimas para las que se hayan recabado.

Asimismo, te informamos de que, en caso de tratar tus datos en base a nuestro interés legítimo, tu privacidad ha sido tomada en
consideración. Si no estás de acuerdo con alguno de los tratamientos llevados a cabo al amparo del interés legítimo de
CREAMFINANCE, puedes oponerte siguiendo los pasos descritos en el apartado de “¿Cuáles son tus derechos y cómo puedes
ejercerlos?”.

A tal efecto, trataremos tus datos personales para el cumplimiento de las siguientes finalidades:

(i) Atención de consultas, dudas, y reclamaciones legales

Siempre atenderemos tus consultas y dudas, que nos podrás hacer llegar a través de cualquiera de nuestros canales o formularios de
contacto. Trataremos los datos que nos facilites con la finalidad de atender tu solicitud de información y remitirte comunicaciones por
cualquier medio, incluidos medios electrónicos, relacionadas con dicha consulta o duda, siendo la base legitimadora de dicho
tratamiento la aplicación de medidas precontractuales a petición del propio interesado (art. 6.1, (b) RGPD).

Asimismo, en defensa de las reclamaciones legales de carácter judicial o extrajudicial que nos hagas llegar o que nosotros
interpongamos, trataremos tus datos personales para gestionarlas. Por un lado, la base de legitimación de estos tratamientos es nuestra
obligación legal (art. 6.1. (c) RGPD) de resolver las reclamaciones de los consumidores en cumplimiento con lo previsto en el Real
Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los
Consumidores y Usuarios y otras leyes complementarias; y en el Reglamento (UE) nº 524/2013 del Parlamento Europeo y del Consejo
de 21 de mayo de 2013, sobre resolución de litigios y, en cumplimiento de la normativa general de consumidores. Por otro lado, la
base de legitimación también es nuestro interés legítimo (art. 6.1. (f) RGPD) en atender las reclamaciones administrativas o
judiciales, hacer frente a las mismas y ejercitar las acciones legales que estimemos oportunas. Este tratamiento no es oponible, por
concurrir motivos imperiosos para tal fin.

5 / 15
(ii) Gestión de alta de usuarios, y administración del área personal

Trataremos los datos que nos proporciones en tu primera solicitud de préstamo para gestionar tu alta como cliente en nuestra página
web, proceder a la aplicación de las correspondientes medidas precontractuales necesarias para poder gestionar la contratación del
producto que nos hayas solicitado y remitirte comunicaciones relacionadas con tu solicitud. Una vez dispongas de usuario en nuestra
área de clientes, podrás administrar tus preferencias personales, realizar nuevas contrataciones de préstamos, recibir descuentos y
promociones, e información sobre el estado de tus solicitudes en curso, así como acceder al histórico de operaciones realizadas y la
documentación legal asociada. Una vez completado el registro, todo usuario podrá acceder a su perfil y completarlo y/o editarlo según
estime conveniente.

La base de legitimación que nos habilita para el tratamiento con estas finalidades es la correcta ejecución del contrato de
préstamo o la aplicación de medidas precontractuales (art. 6.1. (b) RGPD).

(iii) Contratación de préstamos, y gestión de la relación contractual

Cuando te registras como cliente para solicitar un préstamo, te solicitaremos una serie de datos que son necesarios para comunicarnos
contigo, y poder evaluar de forma adecuada tu solicitud. Ten en cuenta que si no nos proporcionas toda la información que te
solicitemos durante el proceso de contratación, es posible que no podamos aprobar tu préstamo.

Comprobamos tu identidad de manera fehaciente a través de los métodos de identificación online para cumplir con nuestras
obligaciones legales en materia de blanqueo de capitales, y para evitar el fraude y la suplantación de identidad, por lo que, en ocasiones,
te solicitaremos una copia de tu documento de identidad. En caso de que tu solicitud de préstamo sea aprobada, nos comunicaremos
contigo y trataremos tus datos para la gestión y mantenimiento de la relación contractual, hasta el pago completo del préstamo. En caso
de que se produzca el impago de un préstamo, podremos tomar las acciones que consideremos oportunas para la defensa de nuestros
intereses, como encargar la gestión a agencias externas de recobro, pero siempre bajo los límites que establece la ley. La base de
legitimación para llevar a cabo estas acciones es la propia ejecución del contrato de préstamo, y la aplicación de medidas
precontractuales (art. 6.1. (b) RGPD).

Toda la información que nos facilites, y la que obtengamos de la consulta de ficheros internos y externos, es necesaria para gestionar,
analizar tu solicitud de préstamo y evaluar tu solvencia conforme a nuestros modelos de comportamiento y riesgo, tal y como te
explicaremos más adelante. Por ello, principalmente, la base de legitimación será la ejecución del contrato de préstamo, o la
aplicación, a petición tuya, de medidas precontractuales (art. 6.1. (b) RGPD), y también el cumplimiento de nuestras
obligaciones legales al realizar el scoring crediticio, y al adoptar medidas para la prevención del blanqueo de capitales y de la
financiación del terrorismo (art. 6.1. (c) RGPD). Asimismo, será aplicable nuestro interés legítimo (art. 6.1, f, RGPD), al
asistirte durante el proceso de contratación mediante el envío de recordatorios si no has finalizado tu solicitud de préstamo, o
en realización de actividades para la prevención del fraude.

Asimismo, si el préstamo resulta impagado podremos comunicar tal circunstancia a los sistemas comunes de información crediticia
relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito; o incluso proceder a la cesión de los derechos de
crédito a terceros. Asimismo, podremos usar plataformas de crowdlending para la búsqueda de financiación (P2P), como son la del
sitio web de AS Mintos Marketplace (Skanstes iela, 50, Riga, Letonia; correo electrónico: dpo@mintos.com) y la de Esketit Platform
Limited (77 Lower Camden Street Dublín 2 D02 XE80, Irlanda; correo electrónico support@esketit.com).

La base legitimadora de estos tratamientos es nuestro interés legítimo (art. 6.1, f, RGPD).

Toma de decisiones automatizada: Estudio del riesgo y solvencia, y lógica aplicada

De acuerdo con lo estipulado en la Ley de Crédito al Consumo, como prestamistas estamos obligados a evaluar tu solvencia antes de
prestarte dinero, y para ello, nos serviremos de la información, los datos y la documentación que nos hayas facilitado, o que hemos
obtenido (i) de fuentes externas (los ficheros de solvencia, para conocer la existencia de impagos o tu comportamiento de pago; o de la
información obtenida de tu cuenta bancaria), o (ii) de fuentes que hayamos generado por nuestros medios (análisis de tu
comportamiento de pago e histórico de operaciones, o datos derivados o inferidos que generan un perfil del cliente).

Para que el proceso de estudio de tu solicitud sea lo más ágil posible, para evitar errores y discriminación, y para reducir el riesgo de
fraude, te informamos que tomamos decisiones exclusivamente automatizadas, por medios tecnológicos y sin intervención humana, que
son necesarias para la ejecución del contrato de préstamo. Ello nos permite decidir si te podemos prestar el dinero solicitado, en qué

6 / 15
cantidad y en qué condiciones. Esto es beneficioso para ti, ya que podemos considerar información individual tuya y ajustar los
términos del préstamo a tus necesidades reales. El sistema nos permite elaborar una lógica de puntuación (scoring crediticio), que es
necesaria para aprobar o denegar tu solicitud de préstamo. Más concretamente, podemos clasificarte y generar un perfil interno en base
al mayor número de préstamos contratados y/o a la actividad que realices, elaborar informes o modelos de riesgo de crédito necesarios
para el análisis y valoración de tu solvencia, y actualizar tu información; todo ello en base al riesgo que sea detectado por nuestra parte
y la calificación crediticia que resulte del análisis de la información disponible.

Uniendo todas las fuentes de información (internas y externas), y las capacidades analíticas de nuestros modelos de comportamiento y
riesgo, mediante un perfilado podremos inferir el comportamiento de pago del solicitante de préstamo, y por tanto, determinar su
riesgo de impago en función del importe y plazo solicitado.

En este proceso seguimos los siguientes pasos:

1. Identificación, y adopción de medidas de prevención del fraude: Analizamos la información derivada de tu proceso de
registro, verificamos la dirección de correo electrónico, los números de teléfono, tu dispositivo, y el resto de los datos
ingresados en tu solicitud para proteger a nuestros clientes y la solvencia de esta entidad. En este momento, utilizamos tanto la
información que nos has proporcionado en el proceso de solicitud, como la que obtenemos vía API de nuestros socios de
servicios de información sobre cuentas, que, mediante el acceso a tu banca online y con tu consentimiento, nos facilitan
información inmediata y certera sobre ingresos y gastos mensuales que has realizado en tu cuenta bancaria: nosotros
colaboramos con Kontomatik UAB (c/. Upes 23, LT-08128, Vilnius, Lituania; correo electrónico: iod@kontomatik.com); y con
Nordigen Solutions, SIA (Gertrūdes str. 44A, Riga, Letonia, LV-1011; correo electrónico: legal@nordigen.com), nos facilita el
acceso a esta información por un periodo de 90 días.

Ten en cuenta que por lo que respecta a la interfaz (API) de nuestros socios de servicios de información sobre cuentas, con carácter
previo a la prestación del servicio deberás aceptar sus términos y condiciones, así como deberás consentir la cesión a
CREAMFINANCE de la información sobre las transacciones bancarias que dicho proveedor obtenga del acceso a tu banca online.
Estos socios no registran tu nombre de usuario ni tus credenciales de inicio de sesión en tu banco, además, tus datos en todo momento
están encriptados con los estándares de seguridad bancaria, se usan métodos de doble factor de autenticación, y ambas entidades
cuentan con el certificado ISO/IEC 27001:2013.

También, colaboramos con Risk.Ident GmbH (Am Sandtorkai 50, 20457 Hamburgo, Alemania; correo electrónico:
contact@riskident.com), SEON Technologies Kft. (Rákóczi út 42, 1072 Budapest, Hungría; correo electrónico: legal@seon.io), o
TeleSign Corporation (13274 Fiji Way Suite 600, Marina del Rey CA 90292, Estados Unidos; correo electrónico: ‍
privacyOffice@telesign.com) que nos ayudan con su tecnología a prevenir el fraude en las solicitudes de préstamo. En ocasiones,
tendremos que verificar tu documento de identificación, y lo haremos a través de nuestro socio Mitek Systems IDV, S.L. (Ronda Can
Fatjó 11, Parc Tecnològic del Vallés; correo electrónico: privacy@MitekSystems.com).

Si la información recopilada como resultado del Paso 1, es suficiente para identificarte y no contiene ningún indicio de posible fraude,
el algoritmo de evaluación avanza al paso 2.

2. Evaluación de los medios para pagar el préstamo y de tu situación económica actual: Analizamos toda tu información
bancaria sobre ingresos y gastos, utilizamos datos que nos has proporcionado en la solicitud del préstamo, revisamos el histórico
de operaciones con nosotros, y accedemos a la información de los ficheros de morosidad. Un buen historial crediticio con
nosotros te otorgará más posibilidades para que te prestemos dinero de nuevo.

3. Cálculo de solvencia patrimonial (calificación crediticia): Tu perfil, con los datos descritos anteriormente y las capacidades
analíticas de nuestro modelo de comportamiento y riesgo (perfilado y tratamientos vinculados), obtiene a través de nuestro
sistema una determinada puntuación o calificación crediticia (scoring crediticio). Por ejemplo, si has pedido prestado más de lo
que puedes devolver con tu salario, tu calificación crediticia desciende.

4. Opinión personalizada sobre tu solvencia: En caso de que se produzca un error en el sistema o se obtenga una calificación
baja, podremos ponernos en contacto contigo para ayudarte a mejorar tu puntuación, obteniendo información adicional que
pueda ser relevante para evaluar tu solvencia. Recuerda que, en todo momento, podrás oponerte a la toma de decisiones
individuales por medios automatizados, siguiendo las instrucciones que se indican en la “¿Cuáles son tus derechos y cómo puedes
ejercerlos?”.

Ten en cuenta que los métodos automatizados de calificación crediticia y el algoritmo que utilizamos se comprueban periódicamente
para garantizar que son justos e imparciales. Sin perjuicio de ello, si no estás conforme con el resultado de tu estudio de riesgo, podrás
impugnarlo aportando la información que consideres necesaria para rebatir la decisión adoptada y solicitar la intervención personal de
uno de nuestros agentes.

7 / 15
Finalmente, como consecuencia de este análisis y la información de nuestras fuentes internas y la obtenida a través de las consultas
realizadas en las fuentes externas anteriormente descritas, podremos aprobar o denegar tu solicitud de préstamo. En caso de que tu
préstamo sea rechazado, te invitaremos a que mediante un enlace accedas a otros comparadores de préstamos, para que estos te puedan
realizar una nueva oferta comercial.

(iv) Prevención del blanqueo de capitales y de la financiación del terrorismo, y cumplimiento del resto de nuestras
obligaciones legales

Para llevar a cabo nuestra actividad comercial, debemos cumplir con una serie de obligaciones legales, fiscales, de auditoría y
contables; así como debemos respetar los derechos de los consumidores, o cumplir con la Ley 10/2010, de 20 de abril, de prevención
del blanqueo de capitales y de la financiación del terrorismo, y con la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo.

En materia de prevención del blanqueo de capitales y de la financiación del terrorismo, debemos aplicar medidas de diligencia debida y
verificar si eres una persona con responsabilidad pública o políticamente expuesta, analizar la información y documentación que nos
aportes a fin de conocer la naturaleza de tu actividad profesional o la licitud de tus fondos, así como tenemos que verificar de forma
fehaciente de tu identidad, que realizaremos a través del número de cuenta en otro banco que nos facilites, o mediante un documento
válido, que muchas veces se realizará a través de un proveedor de servicios externo.

Por ello, podemos vernos obligados a facilitar información sobre transacciones de pago a las autoridades u organismos oficiales de
otros países, situados tanto dentro como fuera de la Unión Europea, en el marco de la lucha contra la financiación del terrorismo y
formas graves de delincuencia organizada y la prevención de blanqueo de capitales. Asimismo, te informamos que, en determinadas
circunstancias, tendremos la obligación de proporcionar información o documentación sobre ti a la Unidad de Inteligencia Financiera
de España (SEPLBAC), a las Administraciones Públicas, a las Fuerzas y Cuerpos de Seguridad del Estado, o a Jueces o Tribunales.

Estas obligaciones de índole legal serán siempre cumplidas por CREAMFINANCE, incluso una vez terminada la relación contractual,
mientras estemos legalmente obligados a ello.

En conclusión, estos tratamientos son necesarios para el cumplimiento de nuestras obligaciones legales (art. 6.1, c, RGPD).

(v) Prevención del fraude

Uno de los objetivos de CREAMFINANCE es garantizar que las operaciones de crédito sean seguras, de manera que nos esforzamos
especialmente en la detección y control de la actividad sospechosa de fraude y de las operaciones no autorizadas que puedan llevarse a
cabo, así como trabajamos constantemente para garantizar la seguridad en nuestros sistemas e infraestructuras tecnológicas. Estos
tratamientos son estrictamente necesarios para minimizar el riesgo crediticio y para la prevención de actividades fraudulentas como la
suplantación de identidad, la duplicación de tarjetas de pago, o el robo de contraseñas. Para ello, podremos utilizar fuentes de
información internas o externas para identificar y detectar posibles incongruencias en los datos obtenidos (como tu correo electrónico,
teléfono u otras variables), podremos recopilar metadatos asociados a la solicitud de préstamo (como tu localización, o el navegador
empleado), información de fuentes de acceso público, o tus patrones de conducta; así como utilizaremos herramientas de terceros para
la prevención del fraude: en el apartado anterior (toma de decisiones automatizada: estudio del riesgo y solvencia, y lógica aplicada), se
incluyen algunos de los proveedores externos con los que compartiremos algunos datos personales tuyos para llevar a cabo estas
actividades. La información que compartimos con estos terceros incluye parte de la información que nos proporcionas cuando te
registras como cliente, como tu dirección de correo electrónico, así como información relacionada con tu navegación, como puede ser
la dirección IP de tu dispositivo.

De igual manera, queremos prevenir accesos indebidos a la información personal que tratamos, y evitar situaciones fraudulentas que
pueda causar perjuicios a la entidad, a nuestros clientes, o a terceros, de manera que, de manera cautelar, y hasta que efectuemos las
comprobaciones oportunas, podremos paralizar cualquier operativa sospechosa. En caso de detectarse operaciones fraudulentas,
cumpliremos con los procedimientos, derechos y garantías que establezca la legislación vigente. Asimismo, te informamos que
podremos utilizar tus datos para garantizar la seguridad física y lógica de nuestros sistemas de información, y así evitar accesos no
autorizados y prevenir ciberataques de terceros.

La base legitimadora del tratamiento es nuestro interés legítimo en prevenir el fraude para proteger a nuestros clientes,
terceros, y la solvencia de la entidad (art. 6.1. (f) RGPD). Es de interés mencionar que el Considerando 47 del RGPD declara
que, el tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye un interés
legítimo del responsable del tratamiento; así como el Informe 195/2017 de la Agencia Española de Protección de Datos

8 / 15
expresamente ampara este tratamiento en la mencionada base de legitimación.ç

(vi) Gestión y desarrollo de negocio

Trataremos tus datos para gestionar adecuadamente nuestra compañía y mantener la seguridad de nuestro sitio web y de nuestros
sistemas de información; realizar estadísticas internas y análisis de riesgo, estudios de mercado y proyectos de desarrollo de negocio;
elaborar informes comerciales; diseñar y entrenar algoritmos para mejorar los modelos de comportamiento y riesgo; mejorar nuestros
productos y servicios, la experiencia de usuario, y controlar la calidad; así como evaluar la efectividad de las campañas publicitarias.
También podremos realizar procedimientos de seudoanonimización de tus datos con fines estadísticos y para la elaboración de modelos
de comportamiento, sin que te podamos identificar a no ser que usemos información y procesos adicionales para ello.

También podremos utilizar tus datos personales, juntamente con los datos provenientes de fuentes internas y externas, para mejorar
nuestro estudio del riesgo y la lógica aplicada, y así como prevenir el fraude y mejorar los parámetros para el cálculo del riesgo
crediticio.

La base de legitimación de estos tratamientos es nuestro interés legítimo (art. 6.1. (f) RGPD) a los efectos de cumplir con los
estándares de calidad interna para la identificación, control y mitigación de riesgos legales u operativos, y mejorar la
rentabilidad del negocio.

(vii) Envío de comunicaciones con finalidades comerciales, publicitarias y de marketing

Envío de información comercial sobre nuestros préstamos a través de medios de comunicación electrónica

Podremos enviarte comunicaciones con finalidades comerciales, publicitarias y de marketing, de manera que podrás recibir a través de
medios electrónicos (SMS, correo electrónico, mensajería instantánea, llamada telefónica, o a través de tu área personal) información
sobre nosotros, sobre nuestros productos financieros, sobre nuestros concursos, descuentos y promociones, o sobre otras noticias que
puedan resultar de tu interés. Podrás, en todo momento, configurar en tu área personal las preferencias relativas al canal de
comunicación a través del cual quieres recibir estos mensajes.

La base de legitimación es tu consentimiento (art. 6.1. (a) RGPD)

Asimismo, te informamos que legítimamente podremos llevar a cabo estas actividades publicitarias a través de un tratamiento
automatizado de datos personales basado en tus necesidades, tus productos adquiridos, tu comportamiento, tus preferencias o tus
intereses, que podremos elaborar a través de nuestras propias fuentes analíticas internas, como de terceros, como también de datos de
navegación y/o de Internet. Sin embargo, no se tomarán decisiones automatizadas en base a este perfilado que produzcan efectos
jurídicos o te afecten significativamente.

La base de legitimación al realizar esta actividad es nuestro interés legítimo (art. 6.1. (f) RGPD).

En todo momento, tienes derecho a oponerte a este perfilado, así como a revocar tu consentimiento para recibir comunicaciones
comerciales. También, podrás darte de baja de la publicidad fácilmente mediante un enlace que se incluye en cada uno de nuestros
correos electrónicos o SMS que te enviemos, o modificando las preferencias directamente en tu área de cliente, en la pestaña
“Aprobación”.

Envío de información comercial sobre productos similares a los contratados

También podremos enviarte comunicaciones con finalidades comerciales sobre productos similares a los que ya haya contratado con
nosotros, a través de medios electrónicos (SMS, correo electrónico, mensajería instantánea, llamada telefónica o a través de su área
personal), todo ello mientras hayas sido cliente nuestro. Estas comunicaciones serán personalizadas con información que se extraerá de
nuestras fuentes internas y en base a la cual elaboraremos perfiles generados a partir de tus patrones de comportamiento.

Ten en cuenta que, en este supuesto, no necesitamos tu consentimiento expreso para enviarte la publicidad, no obstante, podrás ejercer
tus derechos en todo momento y oponerte al envío de estas comunicaciones.

Sin perjuicio de ello, te informamos de que el interés preponderante de CREAMFINANCE para llevar a cabo este tratamiento de datos
es mantener nuestra relación contigo mediante la contratación de nuevos productos. Adicionalmente, esto nos permite continuar con

9 / 15
nuestra actividad económica y crecer dentro del sector financiero. CREAMFINANCE considera que las actividades de tratamiento de
datos personales mencionadas anteriormente no suponen un impedimento para el normal ejercicio de sus derechos y libertades, siendo
consideradas como prácticas habituales dentro del ámbito comercial, por lo que entendemos que la recepción de este tipo de
comunicaciones no defraudará tus expectativas. Asimismo, nos comprometemos a utilizar los medios menos perjudiciales para llevar a
cabo dichas actividades de tratamiento de datos.

La base de legitimación al realizar esta actividad es nuestro interés legítimo (art. 6.1. (f) RGPD).

Seguimiento de nuestras comunicaciones comerciales con fines analíticos

Para poder analizar nuestras campañas de marketing, hacemos seguimiento de cómo interactúas con las diferentes comunicaciones que
te enviamos. De esta forma, si recibes un correo electrónico nuestro, podemos saber si has accedido al mismo, así como otra
información asociada al correo. Esta información la utilizaremos con fines analíticos para poder determinar si estás interesado en
nuestras comunicaciones, si debemos mejorarlas o para entender cómo podemos mejorar la experiencia de nuestros clientes a través de
los diferentes canales de comunicación de acuerdo con sus necesidades e intereses.

La base de legitimación al realizar esta actividad es nuestro interés legítimo (art. 6.1 (f) RGPD).

(viii) Envío de encuestas y estudios de mercado

CREAMFINANCE tratará los datos personales asociados a la contratación de nuestros productos para llevar a cabo a través de correo
electrónico, mensajería instantánea, SMS, teléfono u otros canales de comunicación, encuestas de satisfacción a clientes y estudios de
mercado, para elaborar estadísticas internas e informes comerciales que nos permitan conocer mejor la experiencia de usuario y así
poder valorar internamente el diseño, creación y mejora de nuevas características o funcionalidades en los procesos de contratación y
en la fase de postventa. En caso de que sea posible, anonimizaremos tus datos personales para llevar a cabo nuestras encuestas y
estudios de mercado.

El tratamiento se realiza en base a nuestro interés legítimo (art. 6.1. (f) RGPD) para mejorar nuestros productos y la
prestación de nuestros servicios a los clientes.

(ix) Comunicación de datos a socios comerciales con los que mantenemos acuerdos de colaboración

Podemos ceder tus datos personales a socios comerciales pertenecientes al sector financiero con los que hayamos alcanzado acuerdos
de colaboración, para que éstos puedan remitirte ofertas de financiación que se adapten a tus necesidades. Esto puede ser especialmente
relevante en caso de que tu solicitud de préstamo sea rechazada por nosotros, o cuando ésta no se haya finalizado correctamente en
nuestro sistema.

El listado actualizado de socios comerciales es el siguiente:

Traffic Control OÜ, con código de registro: 11501857, y número de IVA: EE101776220. Dirección legal: Tornimäe tn 2,
10145, Tallin, Estonia. Política de Privacidad: https://www.credy.es/politica-de-privacidad/. Contacto con el responsable de
protección de datos: dataprotectionofficer@credy.com

El listado puede ser actualizado de forma periódica, por lo que te recomendamos que accedas a nuestra Política de Privacidad con
cierta frecuencia para poder ver a que entidades se pueden ceder tus datos.

Ten en cuenta que, en todo momento, puedes retirar tu consentimiento prestado, como también puedes directamente dirigirte al socio
comercial correspondiente para ejercer tus derechos en materia de protección de datos, aunque en este supuesto, debes saber que no
somos responsables de dicho tratamiento. En caso de que no desees que comuniquemos tus datos personales a un socio comercial en
particular, te pedimos que nos lo comuniques a través del correo electrónico legal@creditosi.com.

El tratamiento se realiza en base a tu consentimiento (art. 6.1. (a) RGPD).

(x) Gestión de procesos de selección de personal

10 / 15
 Podremos tratar tus datos en caso de que quieras participar en algún proceso de selección de personal de CREAMFINANCE. Para
ello, analizamos tu perfil académico y profesional; preseleccionamos, en su caso, las solicitudes de empleo que cumplan los criterios de
formación y experiencia y los requisitos formales de selección establecidos por la compañía; y realizamos entrevistas u otro tipo de
pruebas durante el proceso de selección; pudiendo en algunos casos y con tu consentimiento, solicitar referencias de antiguos
empleadores.

Como candidato, te comprometes a proporcionar información actualizada, exacta y veraz, así como a informarnos acerca de cualquier
dato inexacto o incompleto sobre tu perfil profesional.

La legitimación para recabar y tratar los datos personales deriva de la ejecución de un contrato laboral en el que el candidato
es parte, o para la aplicación a petición de este de medidas precontractuales (art. 6.1. (b) RGPD). En caso de que se pretendan
solicitar referencias del candidato a antiguos empleadores, se deberá obtener el consentimiento explícito de éste con carácter
previo (art. 6.1. (a) RGPD).

Una vez concluido el proceso de selección, si la persona candidata no es contratada, se procederá a destruir los datos personales
recabados. Sin perjuicio de ello, con el consentimiento expreso del candidato (art. 6.1. (a) RGPD), se podrán conservar los datos
en la bolsa de trabajo de Creamfinance para futuros procesos de selección, donde su perfil se ajuste a los requisitos de la posición.
A tal efecto, el candidato podrá retirar el consentimiento prestado en todo momento.

(xi) Administración de los perfiles oficiales en redes sociales

CREAMFINANCE está presente en las siguientes redes sociales: Facebook, Twitter, LinkedIn e Instagram.

Al registrarte con tu ID de la red social en algunas de nuestras páginas, prestas tu consentimiento (art. 6.1, a, RGPD) para el acceso a
tu perfil y el tratamiento de aquellos datos personales identificativos del mismo, incluyendo también el contenido de tus mensajes
públicos, los posts publicados, o los “me gusta”, todo ello conforme a esta Política de Privacidad. En caso de que nos formules una
duda, pero no te hayas unido a nuestra página como seguidor, podremos resolver tu consulta en base a nuestro interés legítimo (art.
6.1, f, RGPD). Asimismo, te informamos que este tratamiento de datos personales también estará sujeto a lo establecido en la política
de privacidad de la correspondiente red social en la que te hayas registrado como usuario, así como por sus normas y condiciones de
uso particulares, que te recomendamos que leas con carácter previo.

Por tu parte, podrás publicar comentarios, enlaces, imágenes o fotografías, o cualquier otro tipo de contenido soportado en las redes
sociales, siempre que el mismo te pertenezca o respecto del cual ostentes autorización de terceros. Se prohíbe expresamente cualquier
publicación en redes sociales, ya sean textos, gráficos, fotografías, vídeos, etc. que atenten o sean susceptibles de atentar contra la
moral, la ética, el buen gusto o el decoro, y/o que infrinjan, violen o quebranten los derechos de propiedad intelectual o industrial, el
derecho a la imagen o la Ley. En estos casos, CREAMFINANCE se reserva el derecho a retirar de inmediato el contenido, pudiendo
solicitar el bloqueo permanente del usuario. Ten en cuenta que tus publicaciones en nuestro perfil oficial pueden ser conocidas por el
resto de los usuarios que interactúan en nuestras redes sociales. Sin embargo, desde el perfil de cada red social, puedes configurar qué
información quieres hacer pública en cada caso, ver los permisos que se han concedido, eliminarlos o desactivarlos, como cualquier
aplicación de un tercero que ya no se desea utilizar.

Una vez te unas como seguidor, trataremos sus datos con las finalidades de agilizar y optimizar las respuestas a sus consultas y las
comunicaciones a través de nuestros perfiles; analizar las interacciones sociales con los usuarios; realizar publicaciones comerciales y
publicitarias, gestionar concursos o comunicar otras noticias de interés sobre nosotros; así como para cualquier otra finalidad similar de
acuerdo con los términos que se indiquen en cada momento. Asimismo, en base a nuestro interés legítimo (art. 6.1, f, RGPD), le
indicamos que está previsto el análisis y elaboración de perfiles comerciales a través de sus interacciones en nuestras redes sociales.

4. ¿Durante cuánto tiempo conservamos tus datos?

En virtud del principio de limitación del plazo de conservación, conservaremos tus datos personales durante el tiempo estrictamente
necesario para llevar a cabo los fines para los que fueron recogidos, mientras no solicites su supresión o revoques, en su caso, tu
consentimiento prestado, así como el tiempo necesario para dar cumplimiento a las obligaciones legales y posibles responsabilidades
que se pudieran derivar, y que, en cada caso, correspondan acorde con cada categoría de datos.

Podremos conservar tus datos personales incluso después de que hayas dejado de ser cliente nuestro o hayas solicitado su supresión,
para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de estas, pero mantendremos

11 / 15
los datos debidamente bloqueados, con acceso restringido, y únicamente a disposición de las Administraciones Públicas, Jueces y
Tribunales, y para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las
mismas. También, ten en cuenta que tu documentación la conservaremos diez años en virtud de la Ley 10/2010, de 20 de abril, de
prevención del blanqueo de capitales y de la financiación del terrorismo. Transcurridos cinco años desde la terminación de la relación
de negocios o la ejecución de la operación ocasional, la documentación conservada únicamente será accesible por los órganos de
control interno de CREAMFINANCE. Una vez transcurran los plazos legales correspondientes, procederemos a destruir tus datos.

En relación con los datos incluidos en los ficheros negativos de solvencia crediticia, éstos únicamente se mantendrán en dichos sistemas
mientras persista el incumplimiento de pago, con el límite máximo de 5 años desde la fecha de vencimiento de la obligación de crédito.
Con respecto a los ficheros positivos de solvencia crediticia, los datos incluidos en estos sistemas se conservarán durante 5 años desde
la finalización de la operación, a menos que retires tu consentimiento.

En caso del tratamiento de datos profesionales y académicos para la participación en procesos de selección, estos serán conservados
hasta la finalización del mismo.

Aquellas solicitudes o simulaciones de préstamo que lleves a cabo pero que no terminen en una contratación, las conservaremos durante
el tiempo que estimemos razonable, para evitar duplicidades en tus gestiones y por si hubiera que hacer frente a alguna reclamación por
el uso que hubiéramos hecho de tus datos. Acto seguido procederemos a cancelar los mismos.

En los casos en que obtenemos datos automáticamente a través de cookies, podrás limitar su uso en el tiempo eliminándolas de los
navegadores o dispositivos. Puedes consultar más información en nuestra Política de Cookies.

5. ¿A qué destinatarios podemos comunicar tus datos?

Cuando comunicamos tus datos a otros destinatarios, nos comprometemos a garantizar que estos cuentan con las medidas técnicas y
organizativas adecuadas para garantizar la confidencialidad y la seguridad de los datos transferidos.

CREAMFINANCE no cederá tus datos sin tu consentimiento, salvo en los siguientes supuestos:

Terceros que nos proporcionan, a título enunciativo y no limitativo, las siguientes tipologías de servicios: servicios de logística y
transporte, empresas de servicios profesionales multidisciplinares, servicios de recobro, proveedores de servicios de pago,
servicios de mensajería instantánea, empresas de hosting, empresas proveedoras de servicios de prevención del fraude y de
verificación de la identidad online, empresas de centro de atención telefónica, etc. En relación con los pagos realizados por los
clientes para la devolución de sus préstamos, utilizamos el TPV virtual de Paylands. Se trata de una pasarela de pagos adaptable,
segura y rápida, que cuenta con la certificación PCI DSS y utiliza el programa 3D-Secure para autenticar a los usuarios.

En todo caso, en CREAMFINANCE seguimos unos criterios estrictos de selección de terceros proveedores de servicios con el fin de
dar cumplimiento a nuestras obligaciones en materia de protección de datos, y, en caso de que tengan acceso a nuestros datos, actúen en
nuestro nombre y presten sus servicios siguiendo nuestras instrucciones, nos comprometemos a suscribir con ellos el correspondiente
contrato de encargado de tratamiento de datos mediante el que les impondremos, entre otras, las siguientes obligaciones: aplicar
medidas técnicas y organizativas apropiadas, tratar los datos personales para las finalidades pactadas y atendiendo únicamente a
nuestras instrucciones documentadas, guardar confidencialidad, y suprimir o devolvernos los datos una vez finalice la prestación de los
servicios.

Compañías del Grupo CREAMFINANCE podrán tener acceso a datos para fines administrativos internos o para la gestión
operativa del negocio: en algunos casos, entidades del Grupo podrán actuar como encargados del tratamiento, cuando nos
prestan un servicio siguiendo nuestras instrucciones; o en otras situaciones ambas entidades actuaremos en un régimen de
corresponsabilidad, al determinar conjuntamente los fines y medios del tratamiento (ver la sección siguiente).

En cumplimiento de nuestras obligaciones legales, se podrán transmitir datos a las Administraciones Públicas (SEPBLAC,
AEPD, AEAT, TGSS, etc.), a las Fuerzas y Cuerpos de Seguridad del Estado, o a Jueces y Tribunales.

Podremos comunicar tus datos personales a ficheros negativos de solvencia, relativos al incumplimiento de obligaciones
dinerarias, financieras o de crédito a sistemas de información crediticia; así como a ficheros positivos de solvencia, relativos al
cumplimiento de obligaciones dinerarias, financieras o de crédito a sistemas de información crediticia.

Podremos transmitir tus datos personales a otras empresas en caso de venta total o parcial de nuestra cartera de deuda que
incluya tu crédito en la operación; así como podemos compartir tu préstamo en plataformas crowdlending P2P para obtener

12 / 15
 financiación.

Por último, con tu consentimiento, podremos ceder tus datos personales a socios comerciales pertenecientes al sector financiero con los
que hayamos alcanzado acuerdos de colaboración, para que éstos puedan remitirte ofertas de financiación que se adapten a tus
necesidades. Esto puede ser especialmente relevante en caso de que tu solicitud de préstamo sea rechazada por nosotros, o cuando ésta
no se haya finalizado correctamente en nuestro sistema.

Transferencias de datos a un tercer país u organización internacional

Tus datos personales podrán tratarse y almacenarse por encargados del tratamiento fuera de tu país o del Espacio Económico Europeo
(EEE), tanto por destinatarios declarados de nivel adecuado por la Comisión Europea, como por aquéllos otros en donde no se
proporcione un nivel de protección equiparable al del EEE, como por ejemplo en los Estados Unidos. En este supuesto, todas las
transferencias que podamos llevar a cabo serán legítimas y se regirán por cláusulas contractuales tipo de la Comisión Europea para los
proveedores establecidos fuera de la Unión Europea, además de que optaremos por empresas apropiadas de acuerdo con las
recomendaciones emitidas por el Comité Europeo de Protección de Datos, a fin de garantizar que tus datos están protegidos de forma
adecuada.

6. ¿Qué compañías forman parte del Grupo Creamfinance?

Podremos comunicar tus datos a otras empresas que formen parte del Grupo para fines administrativos internos o para la ejecución de
nuestros servicios. Nosotros pertenecemos al Grupo CREAMFINANCE, propiedad de Cream Finance Holding LTD, con domicilio en
Kimonos Street 40, 3095, Limassol (Chipre), y número de registro HE 335345. El contacto del Delegado de Protección de Datos es:
dpo@creamfinance.com.

Forman parte del Grupo Creamfinance las siguientes entidades:

SIA Creamfinance Latvia (Letonia)

SIA Creamware (Letonia)
SIA CreditON Group (Letonia)
Creamfinance Czech s.r.o. (República Checa)
Cream Finance Holding Limited (Reino Unido)
Creamfinance Denmark Aps (Dinamarca)
Lendon Finances S.A. de C.V. (México)
Moneyveo México S.A. de C.V. (México)
Cream Finance IT Austria GmbH (Austria)
Creamfinance Spain S.L.U. (España)
Creamfinance Poland Sp. z.o.o. (Polonia)
MDP Finance Sp. z.o.o. (Polonia)
CreamWise Europe (Polonia)
Kancelaria Prawno-Windykacyjna Lex Actum Sp.z.o.o. (Polonia)
JJK Credit Sp. z.o.o. (Polonia)
DJK Finance Sp. z.o.o. (Polonia)
KIM Finance Sp. z.o.o. (Polonia)
RRM Ltd (Malta)

Ten en cuenta que algunas de las actividades de tratamiento que realizamos se realizan con empresas del Grupo en el régimen de
corresponsabilidad que estipula el art. 26 del RGPD, al determinar conjuntamente los fines y medios del tratamiento. Dichas
actividades son la toma de decisiones individuales automatizada (conjuntamente con SIA Creamfinance Latvia; número de registro:
40103283854; domiciliada en Skanstes Iela 12, Riga, Letonia; contacto: info@creamcredit.lv), la gestión de las campañas de marketing
(conjuntamente con Creamfinance Poland Sp. z.o.o.; KRS: 0000453034; domiciliada en Bukowińska 22 B, 02-703 Varsovia, Polonia;
contacto del Delegado de Protección de Datos: iod@creamfinance.pl), o las actividades de prevención del fraude (conjuntamente con
SIA Creamfinance Latvia) o del blanqueo de capitales (conjuntamente con Cream Finance Holding LTD, cuyos datos identificativos se
indican más arriba). En todo caso, nosotros actuamos siempre como punto de contacto de los interesados para ejercitar sus derechos de
protección de datos.

Asimismo, en otras ocasiones, algunas empresas del Grupo podrán actuar en la condición de encargados del tratamiento cuando nos
prestan determinados servicios.

13 / 15
7. ¿Cómo protegemos tu información?

CREAMFINANCE garantiza que ha adoptado las medidas técnicas y organizativas necesarias, teniendo en cuenta el estado de la
técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas físicas, para garantizar un nivel de seguridad adecuado a los riesgos
detectados, y asegurar la seudonimización y el cifrado de datos personales así como la capacidad de garantizar la confidencialidad,
integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Los datos personales son alojados en servidores seguros, y se garantiza la seguridad física, técnica y administrativa para ayudar a
proteger la privacidad de los datos y la información personal que nos proporcionas. Actualizamos y probamos nuestra tecnología de
seguridad de forma regular, restringimos el acceso a tus datos personales solo a aquellos empleados que necesitan conocer esa
información para brindarte nuestros servicios, y también capacitamos a nuestros empleados sobre la importancia de la confidencialidad,
la garantía de la privacidad, y la seguridad de tu información. Encriptamos los datos en nuestros sistemas y también mantenemos
soluciones de alta disponibilidad para garantizar el acceso a tus datos. Si alguna vez sospechamos que tu información personal se ha
visto comprometida y que un tercero podría acceder a ella, recibirás un aviso personal de nuestra parte.

Al realizar pagos online en nuestro sistema, el proveedor externo almacena electrónicamente los datos de las tarjetas a través de una
TPV virtual que cumple con el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS, Payment Card
Industry Data Security Standard, en sus siglas en inglés). PCI DSS es un estándar que establece un conjunto de medidas, prácticas y
herramientas que pretenden garantizar la seguridad en el tratamiento de la información asociada a tarjetas de pago. Se garantiza en el
proceso de pago una seguridad total, ya que los datos viajan encriptados gracias al servidor seguro SSL, estándar de seguridad global
que permite la transferencia de datos cifrados entre el navegador del usuario y el servidor web. Para más información dirígete a
www.pcisecuritystandards.org.

Todos los datos introducidos nuestra web están protegidos por la tecnología de encriptación SSL (Secure Locker Layer). Asimismo,
también disponemos de un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información,
que desarrolla los siguientes dominios en la medida en que son aplicables:

1. Políticas de seguridad de la información

2. Organización de la seguridad de la información
3. Seguridad relativa a recursos humanos
4. Gestión de activos
5. Controles de acceso
6. Cifrado de datos
7. Seguridad física y del entorno
8. Seguridad de las operaciones
9. Seguridad de las comunicaciones
10. Adquisición, desarrollo y mantenimiento de los sistemas de información
11. Relación con proveedores
12. Gestión de incidentes de seguridad de la información
13. Aspectos de seguridad de la información para la gestión de la continuidad de negocio
14. Formación al personal y Políticas internas de protección de datos
15. Cumplimiento normativo

8. ¿Cuáles son tus derechos y cómo puedes ejercerlos?

Derecho de acceso: Tienes derecho a obtener información sobre los datos personales que te conciernen que estamos tratando o no, y
en tal caso, acceder a ellos. En caso de solicitarlo, te facilitaremos una copia de tus datos personales que estemos tratando.

Derecho de rectificación: Tienes derecho a rectificar tus datos personales que sean o inexactos o a que se completen los que sean
incompletos.

Derecho de supresión: Podrás solicitar la supresión de tus datos cuando, entre otras circunstancias, éstos ya no sean necesarios para
los fines que fueron recabados o tratados de otro modo.

Derecho a la limitación del tratamiento: Tienes derecho a que se limite el tratamiento de tus datos, en determinadas circunstancias

14 / 15
 que establece la normativa de protección de datos.

Derecho a la portabilidad de los datos: Tienes derecho a recibir tus datos personales en un formato estructurado, de uso común y
lectura mecánica, y a transmitirlos a otra entidad.

Derecho de oposición: En determinadas situaciones, podrás oponerte a un determinado tratamiento por motivos relacionados con tu
situación particular, incluida la elaboración de perfiles. En este supuesto, dejaremos de tratar tus datos, salvo por motivos legítimos
imperiosos o para el ejercicio o defensa de posibles reclamaciones. En todo momento podrás oponerte al tratamiento de tus datos
personales con fines de mercadotecnia directa.

Derecho a no ser objeto de decisiones individuales automatizadas: Tal y como hemos explicado con anterioridad, nuestro proceso
de aprobación de préstamo puede, en ocasiones, ser necesario que sea objeto de una decisión basada únicamente en el tratamiento
automatizado de tus datos personales, incluida la elaboración de perfiles. En tal caso, podrás solicitar la intervención personal de unos
de nuestros gestores, expresar tu punto de vista e impugnar la decisión.

Derecho a revocar tu consentimiento: En todo momento, podrás retirar el consentimiento que nos hayas prestado para cualquier
tratamiento, aunque dicha retirada no afectará a la licitud del tratamiento basado en el consentimiento que se prestó previamente.

Podrás ejercitar estos derechos a través de los siguientes canales:

El área de clientes.
En el supuesto de comunicaciones comerciales, también podrás solicitar la baja haciendo clic en un enlace que podrás encontrar
en todas las comunicaciones de marketing.
Enviando un correo electrónico a legal@creditosi.com
Enviando una carta a la dirección postal: C/ Aribau 112, 1º 1ª (08036 Barcelona).

9. Reclamaciones ante la Autoridad de Protección de Datos

Por otro lado, te informamos que tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (C/
Jorge Juan, 6, 28001 Madrid - España) en caso de considerar que el tratamiento de tus datos personales no se corresponde con la
legalidad vigente. Para más información, puedes acceder a la página web www.aepd.es.

10. Modificaciones de la Política de Privacidad

CREAMFINANCE se reserva el derecho de modificar esta Política de Privacidad en cualquier momento de conformidad con la
legislación aplicable. Cuando lo hagamos, publicaremos la Política de Privacidad revisada y actualizaremos la fecha de «Última
actualización». Asimismo, si aplicamos cambios significativos, te informaremos de las modificaciones por correo electrónico como
mínimo 30 días antes de su entrada en vigor. Podrás cancelar tu cuenta cuando estés en desacuerdo con la versión revisada de la
Política de Privacidad. Si no cancelas tu cuenta antes de la fecha de su entrada en vigor, el acceso al sitio web y el uso de este por tu
parte quedarán sujetos a dicha Política de Privacidad revisada.

Última Actualización: esta Política de Privacidad se ha actualizado el 14 de septiembre de 2022

15 / 15

Powered by TCPDF (www.tcpdf.org)