POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

1. INFORMACIÓN GENERAL

1.1. Presentación de la Empresa

Proyectoscol SAS, identificada con NIT 901798902-1, es la empresa responsable de la plataforma de asesoría y análisis de conversaciones de WhatsApp (en adelante "la Plataforma"), un servicio diseñado para gestionar, analizar y procesar conversaciones de WhatsApp, contactos y datos relacionados con servicios de asesoría empresarial.

En Proyectoscol SAS, reconocemos la importancia fundamental de la privacidad y nos comprometemos a proteger la información personal de todos los usuarios de la Plataforma, así como de los contactos y empresas cuyos datos son procesados a través de nuestros servicios.

1.2. Información de Contacto del Responsable del Tratamiento

1.3. Compromiso con la Privacidad

En Proyectoscol SAS, la protección de datos personales es una prioridad estratégica. Esta política de privacidad está diseñada para informar de manera clara, transparente y completa sobre nuestras prácticas de tratamiento de datos personales, garantizando el cumplimiento estricto de la Ley 1581 de 2012 (Ley de Protección de Datos Personales) de Colombia, su Decreto Reglamentario 1377 de 2013, el Decreto 1074 de 2015, y todas las disposiciones que las modifiquen, adicionen o complementen.

1.4. Alcance de la Política

Esta política de privacidad se aplica a:

1. Usuarios de la Plataforma: Personas naturales que acceden y utilizan la Plataforma en calidad de asesores, administradores, gerentes de área o cualquier otro rol asignado dentro del sistema.
2. Contactos y Clientes: Personas naturales cuyos datos personales son recopilados, almacenados y procesados a través de la Plataforma como resultado de conversaciones de WhatsApp, interacciones comerciales o cualquier otra relación con las empresas que utilizan nuestros servicios.
3. Empresas Cliente: Personas jurídicas que contratan nuestros servicios y cuyos datos corporativos, así como los datos personales de sus representantes legales, empleados y contactos, son procesados en la Plataforma.
4. Proveedores y Terceros: Personas naturales o jurídicas que mantienen relaciones comerciales o contractuales con Proyectoscol SAS.

1.5. Marco Normativo

Esta política cumple estrictamente con:

• Ley 1581 de 2012 (Ley Estatutaria de Protección de Datos Personales)
• Decreto 1377 de 2013 (Reglamentario de la Ley 1581 de 2012)
• Decreto 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio, Industria y Turismo)
• Constitución Política de Colombia
• Código Penal Colombiano (Artículo 269 sobre violación de datos personales)
• Todas las disposiciones que modifiquen, adicionen o complementen la normativa anterior

1.6. Estándares de Seguridad y Compliance

Proyectoscol SAS, aunque no cuenta actualmente con certificación ISO 27001, implementa y cumple con los estándares y controles establecidos en dicha normativa internacional de seguridad de la información. Nuestros procesos de seguridad de la información están alineados con los requisitos de ISO/IEC 27001:2022, incluyendo:

• Sistema de Gestión de Seguridad de la Información (SGSI)
• Evaluación y tratamiento de riesgos de seguridad
• Controles de seguridad técnica, física y organizativa
• Gestión de incidentes de seguridad
• Continuidad del negocio
• Auditorías y revisiones periódicas
• Mejora continua de los procesos de seguridad

Esta política refleja nuestro compromiso con estos estándares internacionales de seguridad de la información.

2. DEFINICIONES Y CONCEPTOS CLAVE

Para efectos de esta política, se entenderán los siguientes términos:

Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Titular del Dato Personal: Persona natural cuyos datos personales son objeto de tratamiento. En el contexto de esta política, los titulares incluyen usuarios de la Plataforma, contactos, clientes, representantes legales de empresas, proveedores y cualquier otra persona natural cuyos datos sean procesados.

Base de Datos: Conjunto organizado de datos personales que son objeto de tratamiento.

Dato Sensible: Dato personal que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, tales como datos de salud, orientación sexual, origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales.

Dato Privado: Dato personal que por su carácter íntimo o reservado es relevante para el titular.

Dato Semiprivado: Dato personal conocido y de interés tanto para el titular como para un determinado sector de personas o para la sociedad en general.

Dato Público: Dato personal calificado como tal según la Constitución y la ley.

Habeas Data: Derecho constitucional que tiene el titular de los datos personales de exigir de las administradoras de los mismos el acceso, inclusión, exclusión, corrección, adición, actualización y rectificación de los datos, así como la limitación en su divulgación, publicación o cesión.

Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

Responsable del Tratamiento: Proyectoscol SAS, que decide sobre el tratamiento de datos personales.

Encargado del Tratamiento: Persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del responsable.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, supresión, análisis, procesamiento, etc.

Transmisión: Tratamiento de datos personales que implica la comunicación a un tercero dentro o fuera de Colombia, cuando dicha comunicación tenga por objeto la realización de un tratamiento por el encargado en nombre y por cuenta del responsable.

Transferencia: Envío de datos personales a un receptor que a su vez es responsable del tratamiento, dentro o fuera del país.

Violación de Datos Personales: Delito tipificado en el artículo 269 del Código Penal Colombiano, que establece pena de prisión de 48 a 96 meses y multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

3. PRINCIPIOS RECTORES

De acuerdo con el Título II de la Ley 1581 de 2012, el tratamiento de datos personales se regirá por los siguientes principios:

3.1. Principio de Legalidad

El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 de 2012 y las demás disposiciones que la desarrollen.

3.2. Principio de Finalidad

El tratamiento de los datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.

3.3. Principio de Libertad

El tratamiento de los datos personales solo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

3.4. Principio de Veracidad o Calidad

La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

3.5. Principio de Transparencia

En el tratamiento de los datos personales debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le concierne.

3.6. Principio de Seguridad

La información sujeta a tratamiento debe manejarse con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

3.7. Principio de Confidencialidad

Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.

3.8. Principio de Acceso y Circulación Restringida

El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución.

4. RECOPILACIÓN DE INFORMACIÓN

4.1. Datos Recopilados de Usuarios de la Plataforma

Los usuarios de la Plataforma (asesores, administradores, gerentes de área, etc.) proporcionan los siguientes datos:

4.1.1. Datos de Registro y Autenticación:

• Nombre completo
• Dirección de correo electrónico
• Contraseña (almacenada de forma cifrada)
• Número de identificación (cuando sea requerido)
• Información de perfil (foto, cargo, área de trabajo)

4.1.2. Datos de Uso de la Plataforma:

• Dirección IP
• Tipo de navegador y sistema operativo
• Configuración de idioma
• Registro de actividades y acciones realizadas en la Plataforma
• Tiempo de sesión y páginas visitadas
• Configuraciones y preferencias del usuario

4.1.3. Datos de Roles y Permisos:

• Rol asignado (super_admin, area_manager, regular_user, etc.)
• Permisos específicos por inbox o área
• Historial de cambios de permisos

4.2. Datos Recopilados de Contactos y Clientes

Los datos de contactos y clientes se recopilan principalmente a través de conversaciones de WhatsApp procesadas por la Plataforma:

4.2.1. Datos Básicos de Identificación:

• Nombre completo o nombre de contacto
• Número de teléfono de WhatsApp
• Foto de perfil de WhatsApp (cuando esté disponible)
• Información de perfil de WhatsApp

4.2.2. Datos de Conversaciones:

• Contenido completo de mensajes de WhatsApp (texto, imágenes, audio, video, documentos, ubicaciones, stickers, etc.)
• Metadatos de mensajes (fecha, hora, dirección del mensaje - entrante/saliente)
• Información sobre respuestas y referencias entre mensajes
• Archivos adjuntos (almacenados de forma segura)

4.2.3. Datos de Análisis y Perfilamiento (generados por IA):

Datos Demográficos:

• Rango de edad
• Género
• Ocupación
• Ingresos mensuales estimados
• Zona geográfica
• Pasatiempos e intereses

Datos de Comportamiento:

• Patrones de comportamiento identificados
• Eventos desencadenantes de interés
• Palabras clave identificadas
• Temas frecuentes de conversación
• Horario preferido de comunicación
• Palabras más usadas (cliente y asesor)

Datos de Prospecto (cuando aplica):

• Productos de interés
• Método de pago preferido
• Urgencia de compra
• Probabilidad de cierre
• Etapa del embudo de ventas
• Puntuación de calidad
• Valor estimado
• Objeción principal
• Fuente de adquisición
• Competidores mencionados

Datos de Cliente (cuando aplica):

• Nivel de satisfacción
• Historial de compras
• Referencias a otros contactos

Análisis de Sentimiento:

• Clasificación de sentimiento (positivo, neutro, negativo)
• Análisis contextual de las conversaciones

Análisis Personalizados (5 campos configurables):

• Campos de análisis adicionales definidos por la empresa cliente
• Contexto adicional para análisis

4.2.4. Datos de Estadísticas y Métricas:

• Tiempo de respuesta promedio
• Número de mensajes intercambiados
• Frecuencia de comunicación
• Estado de conversación (abierta, resuelta, pendiente)

4.3. Datos Recopilados de Empresas Cliente

Las empresas que contratan nuestros servicios proporcionan:

4.3.1. Datos Corporativos:

• Razón social
• NIT
• Dirección
• Teléfono
• Correo electrónico corporativo
• Información de facturación

4.3.2. Datos de Representantes Legales y Contactos:

• Nombre completo
• Cargo
• Número de identificación
• Correo electrónico
• Teléfono
• Firma digital o autorización

4.3.3. Datos de Configuración de la Plataforma:

• Configuración de inboxes (asesores de WhatsApp)
• Nombres personalizados de asesores
• Emails de asesores
• Fotos de perfil de asesores
• Configuración de keywords y análisis
• Configuración de IA (API keys, contexto adicional, títulos de campos)
• Configuraciones de seguridad y permisos

4.4. Datos Recopilados Automáticamente

4.4.1. Datos Técnicos:

• Dirección IP
• Tipo de dispositivo
• Sistema operativo
• Navegador web y versión
• Configuración de idioma
• Zona horaria

4.4.2. Cookies y Tecnologías Similares:

• Cookies necesarias para el funcionamiento de la Plataforma
• Cookies de funcionalidad
• Cookies analíticas (con consentimiento)
• Tokens de autenticación

4.4.3. Datos de Webhooks y APIs:

• Eventos recibidos de WAHA (WhatsApp API)
• Metadatos de sincronización
• Logs de actividad del sistema

4.5. Formas de Recolección

Los datos personales se recopilan a través de:

1. Registro directo en la Plataforma: Formularios de registro, configuración y actualización de perfiles
2. Integración con WhatsApp (WAHA): Procesamiento automático de conversaciones y mensajes de WhatsApp
3. Análisis Automático con IA: Procesamiento de conversaciones mediante inteligencia artificial para extraer información estructurada
4. Formularios Web: Formularios de contacto, solicitudes de información, etc.
5. Comunicaciones: Correos electrónicos, llamadas telefónicas, reuniones
6. Contratos y Documentos: Contratos de prestación de servicios, acuerdos comerciales
7. Cookies y Tecnologías de Seguimiento: Automático durante la navegación (con consentimiento cuando aplique)

5. FINALIDADES DEL TRATAMIENTO

5.1. Finalidades para Usuarios de la Plataforma

Los datos personales de los usuarios de la Plataforma se tratan con las siguientes finalidades:

1. Gestión de Acceso y Autenticación:
   • Crear y gestionar cuentas de usuario
   • Autenticar y autorizar el acceso a la Plataforma
   • Implementar controles de acceso basados en roles y permisos
   • Gestionar sesiones de usuario
2. Prestación del Servicio:
   • Proporcionar acceso a las funcionalidades de la Plataforma
   • Gestionar inboxes y asesores de WhatsApp
   • Procesar y analizar conversaciones
   • Generar estadísticas y reportes
   • Configurar y personalizar la experiencia del usuario
3. Comunicación y Soporte:
   • Enviar notificaciones sobre el servicio
   • Proporcionar soporte técnico
   • Responder consultas y solicitudes
   • Comunicar actualizaciones y cambios en el servicio
4. Seguridad y Prevención de Fraude:
   • Detectar y prevenir accesos no autorizados
   • Monitorear actividades sospechosas
   • Implementar medidas de seguridad
   • Realizar auditorías de seguridad
5. Cumplimiento Legal:
   • Cumplir con obligaciones legales y regulatorias
   • Responder a requerimientos de autoridades competentes
   • Mantener registros según lo exigido por la ley
6. Mejora del Servicio:
   • Analizar el uso de la Plataforma para mejoras
   • Desarrollar nuevas funcionalidades
   • Realizar pruebas y optimizaciones

5.2. Finalidades para Contactos y Clientes

Los datos personales de contactos y clientes se tratan con las siguientes finalidades:

1. Gestión de Conversaciones:
   • Procesar y almacenar conversaciones de WhatsApp
   • Organizar y catalogar mensajes
   • Gestionar archivos adjuntos y medios
   • Facilitar la comunicación entre asesores y contactos
2. Análisis y Perfilamiento:
   • Analizar conversaciones mediante inteligencia artificial
   • Extraer información estructurada sobre contactos
   • Generar perfiles de clientes y prospectos
   • Identificar patrones de comportamiento
   • Analizar sentimiento y contexto de conversaciones
3. Business Intelligence y Estadísticas:
   • Generar estadísticas y métricas de conversaciones
   • Crear reportes y análisis de rendimiento
   • Identificar palabras clave y temas relevantes
   • Analizar tiempos de respuesta y eficiencia
4. Gestión Comercial:
   • Gestionar el embudo de ventas
   • Clasificar contactos como prospectos o clientes
   • Realizar seguimiento comercial
   • Gestionar oportunidades de negocio
5. Mejora del Servicio de Asesoría:
   • Personalizar la atención al cliente
   • Mejorar la calidad del servicio de asesoría
   • Identificar necesidades y preferencias
   • Optimizar procesos comerciales
6. Cumplimiento de Obligaciones Contractuales:
   • Cumplir con los servicios contratados por las empresas cliente
   • Proporcionar las funcionalidades acordadas
   • Mantener registros históricos según lo requerido
7. Seguridad:
   • Proteger la información contra accesos no autorizados
   • Implementar medidas de seguridad
   • Detectar y prevenir fraudes

5.3. Finalidades para Empresas Cliente

Los datos de las empresas cliente se tratan con las siguientes finalidades:

1. Prestación del Servicio:
   • Gestionar la cuenta de la empresa en la Plataforma
   • Configurar y personalizar el servicio
   • Proporcionar acceso a funcionalidades contratadas
   • Gestionar usuarios y permisos
2. Facturación y Gestión Comercial:
   • Procesar pagos y facturación
   • Gestionar contratos y acuerdos comerciales
   • Realizar gestión contable y administrativa
3. Comunicación:
   • Enviar información sobre el servicio
   • Proporcionar soporte técnico y comercial
   • Comunicar actualizaciones y cambios
4. Cumplimiento Legal:
   • Cumplir con obligaciones legales y contractuales
   • Mantener registros según lo exigido por la ley
   • Responder a requerimientos de autoridades

5.4. Limitación de Finalidades

6. AUTORIZACIÓN Y CONSENTIMIENTO

6.1. Requisitos de la Autorización

La autorización para el tratamiento de datos personales debe cumplir con los siguientes requisitos:

1. Previo: Debe otorgarse antes de iniciar el tratamiento de datos personales
2. Expreso: Debe otorgarse de forma inequívoca, clara y específica
3. Informado: El titular debe comprender claramente para qué serán tratados sus datos personales y las finalidades del tratamiento

6.2. Formas de Obtención de Autorización

6.2.1. Para Usuarios de la Plataforma:

• Al momento del registro, se presenta un aviso de privacidad y se solicita la aceptación de esta política
• La aceptación se realiza mediante casilla de verificación o botón de aceptación
• El usuario debe leer y aceptar la política antes de completar el registro

6.2.2. Para Contactos y Clientes:

• La autorización se obtiene de forma indirecta a través de las empresas cliente que utilizan nuestros servicios
• Las empresas cliente deben informar a sus contactos sobre el uso de la Plataforma y obtener las autorizaciones necesarias
• Proyectoscol SAS actúa como encargado del tratamiento en nombre de las empresas cliente
• Los contactos pueden ejercer sus derechos directamente ante Proyectoscol SAS o a través de la empresa cliente

6.2.3. Para Empresas Cliente:

• La autorización se obtiene mediante contrato de prestación de servicios
• El contrato incluye cláusulas específicas sobre el tratamiento de datos personales
• Se presenta esta política de privacidad como anexo al contrato

6.3. Casos en que NO se Requiere Autorización

De acuerdo con la Ley 1581 de 2012, no se requiere autorización en los siguientes casos:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales
2. Datos de naturaleza pública
3. Casos de urgencia médica o sanitaria
4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos
5. Datos relacionados con el Registro Civil de las Personas

6.4. Revocación de la Autorización

Los titulares pueden revocar su autorización en cualquier momento, siempre que no exista un deber legal o contractual que impida hacerlo. La revocación no afectará la validez del tratamiento realizado con anterioridad.

7. DERECHOS DE LOS TITULARES

En cumplimiento de las garantías fundamentales consagradas en la Constitución y la ley, los titulares de datos personales pueden ejercer los siguientes derechos de forma gratuita e ilimitada:

7.1. Derecho de Conocer, Acceder y Actualizar

El titular tiene derecho a:

• Conocer qué datos personales suyos están siendo tratados
• Acceder a sus datos personales almacenados en nuestras bases de datos
• Conocer las finalidades del tratamiento
• Conocer las categorías de datos tratados
• Conocer los destinatarios o encargados del tratamiento
• Actualizar sus datos personales cuando sean inexactos o incompletos

7.2. Derecho de Rectificación

El titular tiene derecho a solicitar la corrección de datos personales inexactos, incompletos o que induzcan a error.

7.3. Derecho de Supresión (Derecho al Olvido)

El titular tiene derecho a solicitar la eliminación de sus datos personales cuando:

• Los datos ya no sean necesarios para las finalidades para las que fueron recopilados
• El titular retire su consentimiento
• Se determine que el tratamiento viola principios constitucionales o legales

Limitaciones: La supresión podrá ser negada cuando:

• El titular tenga un deber legal o contractual de permanecer en la base de datos
• La eliminación pueda afectar procesos judiciales o administrativos
• Los datos sean necesarios para proteger intereses jurídicos del titular o cumplir obligaciones legales

7.4. Derecho de Revocación

El titular tiene derecho a revocar su autorización para el tratamiento de datos personales en cualquier momento, siempre que no exista un deber legal o contractual que lo impida.

7.5. Derecho a Solicitar Prueba de la Autorización

El titular tiene derecho a solicitar prueba de la autorización otorgada para el tratamiento de sus datos personales.

7.6. Derecho a Presentar Quejas y Reclamos

El titular tiene derecho a presentar quejas y reclamos ante:

• Proyectoscol SAS, a través de los canales establecidos
• La Superintendencia de Industria y Comercio (SIC), cuando considere que sus derechos han sido vulnerados

7.7. Derecho a la Portabilidad de Datos

El titular tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.

7.8. Derecho a Oponerse al Tratamiento

El titular tiene derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias, como cuando el tratamiento se basa en intereses legítimos o en mercadotecnia directa.

7.9. Derecho a Ser Informado

El titular tiene derecho a ser informado sobre:

• El uso y tratamiento que se les dará a sus datos personales
• Las modificaciones y actualizaciones de las políticas de protección
• Las medidas de seguridad implementadas
• Las finalidades del tratamiento

8. PROCEDIMIENTOS PARA EL EJERCICIO DE DERECHOS

8.1. Canales para Ejercer Derechos

Los titulares pueden ejercer sus derechos a través de los siguientes canales:

8.2. Requisitos de las Solicitudes

Todas las solicitudes deben contener:

1. Nombre completo del titular
2. Número de identificación
3. Descripción clara de la solicitud
4. Dirección de contacto (correo electrónico o física)
5. Documentos que acrediten la identidad del titular

8.3. Solicitudes por Representante Legal o Apoderado

Cuando la solicitud sea realizada por un representante legal o apoderado, debe adjuntar:

1. Documento que acredite la representación (poder, certificación, etc.)
2. Copia del documento de identidad del representante
3. Copia del documento de identidad del titular
4. Descripción completa de la solicitud

8.4. Solicitudes por Causahabiente

Cuando la solicitud sea realizada por un causahabiente, debe adjuntar:

1. Copia del registro civil de defunción del titular
2. Documento que acredite la calidad de causahabiente
3. Copia del documento de identidad del causahabiente
4. Copia del documento de identidad del titular
5. Descripción completa de la solicitud

8.5. Plazos de Respuesta

8.5.1. Consultas:

• Plazo máximo: 10 días hábiles contados a partir del día siguiente a la recepción
• Prórroga: Hasta 5 días hábiles adicionales, informando los motivos de la demora

8.5.2. Reclamos:

• Plazo máximo: 15 días hábiles contados a partir del día siguiente a la recepción
• Prórroga: Hasta 8 días hábiles adicionales, informando los motivos de la demora
• Solicitud incompleta: Se requerirá al interesado dentro de 5 días para que complete la información. Si transcurren 2 meses sin respuesta, se entenderá desistida la solicitud

8.6. Acuse de Recibo

Todas las solicitudes recibirán un acuse de recibo dentro de los 2 días hábiles siguientes a su recepción.

8.7. Confirmación de Acción

Al finalizar el trámite, el titular recibirá confirmación de la acción realizada (rectificación, supresión, actualización, etc.).

9. SEGURIDAD DE LA INFORMACIÓN

9.1. Compromiso con la Seguridad

Proyectoscol SAS reconoce que la seguridad de la información constituye un pilar fundamental en la gestión responsable de datos personales. Implementamos medidas técnicas, administrativas y humanas rigurosas para proteger los datos personales contra accesos no autorizados, pérdidas, alteraciones, uso indebido o divulgación indebida.

9.2. Estándares de Seguridad (ISO 27001)

Aunque no contamos con certificación ISO 27001, implementamos y cumplimos con los estándares y controles establecidos en ISO/IEC 27001:2022, incluyendo:

9.2.1. Sistema de Gestión de Seguridad de la Información (SGSI):

• Políticas y procedimientos de seguridad documentados
• Asignación de responsabilidades y roles
• Revisión y actualización periódica de políticas
• Capacitación continua del personal

9.2.2. Evaluación y Tratamiento de Riesgos:

• Identificación periódica de amenazas y vulnerabilidades
• Evaluación de riesgos de seguridad
• Implementación de controles para mitigar riesgos
• Monitoreo continuo de riesgos

9.2.3. Controles de Seguridad Técnica:

Cifrado de Datos:

• Cifrado TLS/SSL para transmisión de datos
• Cifrado de datos en reposo
• Algoritmos de cifrado estándar de la industria
• Gestión segura de claves de cifrado

Control de Acceso:

• Autenticación de usuarios (contraseñas seguras, autenticación de dos factores cuando sea posible)
• Control de acceso basado en roles (RBAC)
• Principio de menor privilegio
• Gestión de sesiones y timeouts automáticos
• Registro y auditoría de accesos

Protección de Sistemas:

• Firewalls y sistemas de detección de intrusiones
• Protección contra malware
• Actualizaciones y parches de seguridad
• Configuración segura de sistemas

Seguridad de Aplicaciones:

• Validación de entrada de datos
• Protección contra inyección SQL y otros ataques
• Gestión segura de sesiones
• Logging y monitoreo de actividades

9.2.4. Controles de Seguridad Física:

• Control de acceso físico a instalaciones
• Protección de equipos y medios de almacenamiento
• Disposición segura de equipos y medios
• Protección contra desastres naturales

9.2.5. Controles de Seguridad Organizativa:

• Políticas de recursos humanos (verificación de antecedentes, acuerdos de confidencialidad)
• Capacitación y concientización en seguridad
• Gestión de incidentes de seguridad
• Continuidad del negocio y planes de recuperación

9.2.6. Gestión de Incidentes de Seguridad:

• Procedimientos de detección y respuesta a incidentes
• Plan de respuesta a incidentes documentado
• Notificación a autoridades y titulares cuando sea requerido
• Análisis post-incidente y lecciones aprendidas

9.2.7. Auditorías y Revisiones:

• Auditorías internas periódicas
• Revisiones de seguridad
• Evaluación de cumplimiento
• Mejora continua

9.3. Medidas Específicas Implementadas

9.3.1. Cifrado:

• Todos los datos sensibles se cifran en tránsito usando TLS/SSL
• Los datos almacenados se cifran en reposo
• Las contraseñas se almacenan usando funciones de hash seguras (bcrypt, argon2, etc.)
• Las credenciales de acceso se manejan de forma segura

9.3.2. Control de Acceso:

• Sistema de autenticación robusto
• Control de acceso basado en roles y permisos granulares
• Cada usuario solo tiene acceso a la información necesaria para su función
• Registro de todas las actividades de acceso y modificación

9.3.3. Protección de Infraestructura:

• Servidores protegidos con firewalls
• Sistemas de detección de intrusiones
• Monitoreo continuo de seguridad
• Actualizaciones regulares de seguridad

9.3.4. Gestión de Datos:

• Copias de seguridad regulares y seguras
• Procedimientos de recuperación ante desastres
• Eliminación segura de datos cuando ya no sean necesarios
• Políticas de retención de datos

9.3.5. Capacitación del Personal:

• Capacitación periódica en seguridad de la información
• Concientización sobre protección de datos personales
• Políticas de uso aceptable
• Acuerdos de confidencialidad con todos los colaboradores

9.4. Responsabilidad del Usuario

Los usuarios de la Plataforma son responsables de:

• Mantener la confidencialidad de sus credenciales de acceso
• Utilizar contraseñas seguras y cambiarlas regularmente
• No compartir sus credenciales con terceros
• Informar inmediatamente sobre cualquier actividad sospechosa o no autorizada
• Cerrar sesión al finalizar el uso de la Plataforma

9.5. Gestión de Incidentes de Seguridad

En caso de incidentes que afecten la seguridad de los datos personales:

1. Detección: Monitoreo continuo para detectar incidentes
2. Análisis: Evaluación inmediata del impacto y alcance
3. Contención: Medidas para limitar el impacto
4. Erradicación: Eliminación de la causa del incidente
5. Recuperación: Restauración de sistemas y datos
6. Notificación: Comunicación a autoridades y titulares afectados cuando sea requerido
7. Mejora: Implementación de medidas preventivas

Todo incidente será registrado en una bitácora que documentará la fecha, naturaleza del evento, sistemas afectados, medidas adoptadas y resultado de la gestión.

10. COMPARTIR INFORMACIÓN CON TERCEROS

10.1. Encargados del Tratamiento

Proyectoscol SAS puede compartir datos personales con terceros que actúan como encargados del tratamiento, es decir, que procesan datos por cuenta nuestra para cumplir con las finalidades aquí descritas. Estos incluyen:

10.1.1. Proveedores de Servicios en la Nube:

• Supabase: Almacenamiento de bases de datos, autenticación y almacenamiento de archivos
• Proveedores de Hosting: Servicios de alojamiento y infraestructura

10.1.2. Proveedores de Servicios de IA:

• OpenAI: Procesamiento de lenguaje natural y análisis de conversaciones mediante inteligencia artificial
  • Los datos compartidos incluyen contenido de conversaciones para análisis
  • Se asegura que OpenAI cumpla con estándares de seguridad y privacidad
  • Los datos se procesan según las políticas de privacidad de OpenAI

10.1.3. Proveedores de Servicios de WhatsApp:

• WAHA (WhatsApp API): Integración para recibir y procesar mensajes de WhatsApp

10.1.4. Otros Proveedores de Servicios:

• Servicios de análisis y monitoreo
• Servicios de soporte técnico
• Servicios de facturación y pagos

10.2. Garantías con Encargados del Tratamiento

Todos los contratos con encargados del tratamiento incluyen:

1. Cláusulas de Protección de Datos:
   • Obligación de confidencialidad
   • Instrucciones detalladas sobre el tratamiento
   • Medidas de seguridad equivalentes
   • Prohibición de uso para fines distintos a los autorizados
2. Obligaciones Contractuales:
   • Retorno o supresión de datos al finalizar el contrato
   • Posibilidad de realizar auditorías de cumplimiento
   • Notificación de incidentes de seguridad
   • Responsabilidad por incumplimiento
3. Supervisión:
   • Auditorías periódicas de cumplimiento
   • Verificación de medidas de seguridad
   • Monitoreo del tratamiento

10.3. Transferencias Internacionales

Dado que algunos proveedores de servicios pueden tener servidores fuera de Colombia:

1. Verificación de Protección:
   • Verificamos que el país receptor ofrezca niveles adecuados de protección
   • En caso contrario, implementamos cláusulas contractuales tipo y garantías adicionales
2. Mecanismos de Protección:
   • Cláusulas contractuales estándar
   • Certificaciones de privacidad
   • Garantías contractuales adicionales
   • Autorización expresa del titular cuando sea requerida
3. Documentación:
   • Mantenemos un inventario actualizado de terceros receptores
   • Documentamos las ubicaciones y finalidades autorizadas
   • Registramos las transferencias realizadas

10.4. Requerimientos Legales

Podemos divulgar información de los usuarios si estamos obligados a hacerlo por ley, como en respuesta a:

• Órdenes judiciales
• Requerimientos de autoridades competentes
• Obligaciones legales o regulatorias

10.5. Empresas Cliente

Los datos de contactos y clientes son compartidos con las empresas cliente que contratan nuestros servicios, ya que estas empresas son las responsables del tratamiento de los datos de sus contactos. Proyectoscol SAS actúa como encargado del tratamiento en nombre de estas empresas.

11. RETENCIÓN Y SUPRESIÓN DE DATOS

11.1. Principios de Retención

Los datos personales se conservan únicamente durante el tiempo necesario para:

1. Cumplir con las finalidades del tratamiento aquí descritas
2. Cumplir con obligaciones legales o contractuales
3. Resolver disputas o hacer cumplir acuerdos
4. Proteger los derechos legítimos de Proyectoscol SAS o terceros

11.2. Plazos de Retención Específicos

11.2.1. Datos de Usuarios de la Plataforma:

• Datos activos: Durante la vigencia de la cuenta de usuario
• Datos inactivos: Hasta 2 años después de la última actividad, salvo obligación legal
• Datos de facturación: 10 años según obligaciones contables (Ley 962 de 2005)

11.2.2. Datos de Contactos y Clientes:

• Datos activos: Durante la vigencia del contrato con la empresa cliente
• Datos históricos: Según lo acordado con la empresa cliente, mínimo 1 año después de la última interacción
• Datos de conversaciones: Según configuración de la empresa cliente, mínimo 1 año

11.2.3. Datos de Empresas Cliente:

• Datos activos: Durante la vigencia del contrato
• Datos de facturación: 10 años según obligaciones contables
• Datos históricos: 5 años después de la terminación del contrato, salvo obligación legal

11.3. Revisión Periódica

La información será revisada periódicamente (al menos una vez al año) para:

• Verificar la veracidad de los datos
• Confirmar que la finalidad del tratamiento sigue siendo válida
• Identificar datos que puedan ser eliminados o anonimizados

11.4. Supresión de Datos

Cuando los datos ya no sean necesarios:

1. Supresión Segura:
   • Eliminación permanente de las bases de datos
   • Eliminación de copias de seguridad (según políticas de retención de backups)
   • Anonimización cuando la supresión completa no sea posible
2. Confirmación:
   • Se comunicará al titular la confirmación de la supresión cuando sea solicitada
   • Se mantendrá registro de las supresiones realizadas

11.5. Excepciones a la Supresión

La supresión puede ser diferida o negada cuando:

• Exista una obligación legal o contractual de conservación
• Los datos sean necesarios para procesos judiciales o administrativos
• La supresión pueda afectar derechos legítimos del titular o terceros

12. TRATAMIENTO DE DATOS SENSIBLES

12.1. Principio General

12.2. Datos Sensibles que Pueden Aparecer

Dado que la Plataforma procesa conversaciones de WhatsApp, es posible que en el contenido de los mensajes aparezcan datos sensibles mencionados por los contactos. En estos casos:

1. No se procesan intencionalmente: No buscamos ni extraemos activamente datos sensibles
2. Tratamiento limitado: Si aparecen en conversaciones, se tratan con las máximas medidas de seguridad
3. Acceso restringido: Solo personal autorizado puede acceder a esta información
4. No se utilizan para discriminación: Los datos sensibles no se utilizan para ningún propósito discriminatorio

12.3. Excepciones Legales

El tratamiento de datos sensibles sin autorización solo es permitido en los siguientes casos:

1. Cuando el tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado
2. Cuando el tratamiento se refiera a datos necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
3. Cuando el tratamiento tenga una finalidad histórica, estadística o científica (con medidas de anonimización)
4. Cuando se realice en cumplimiento de una orden pública o administrativa

12.4. Protección de Datos Sensibles

Si se procesan datos sensibles:

• Se aplican las máximas medidas de seguridad
• El acceso está limitado al personal estrictamente autorizado
• Se mantiene registro de accesos
• Se implementan controles adicionales de seguridad

13. PROTECCIÓN DE MENORES DE EDAD

13.1. Principio General

13.2. Medidas de Protección

1. No recopilación intencional: No recopilamos intencionalmente datos personales de menores de 18 años
2. Detección y eliminación: Si identificamos datos de menores, los eliminaremos de manera inmediata y permanente
3. Consentimiento de padres: Si un menor necesita usar el servicio, debe contar con autorización expresa de su representante legal
4. Medidas adicionales: Implementamos medidas de seguridad adicionales si detectamos datos de menores

13.3. Responsabilidad de las Empresas Cliente

Las empresas cliente que utilizan nuestros servicios son responsables de:

• Informar a los contactos sobre el uso de la Plataforma
• Obtener las autorizaciones necesarias, incluyendo autorización de padres o tutores cuando se trate de menores
• No incluir intencionalmente datos de menores en la Plataforma

14. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

14.1. Uso de Cookies

La Plataforma utiliza cookies y tecnologías similares para:

1. Cookies Necesarias:
   • Autenticación y gestión de sesiones
   • Seguridad y prevención de fraudes
   • Funcionalidades esenciales de la Plataforma
   • Estas cookies son indispensables y no requieren consentimiento
2. Cookies de Funcionalidad:
   • Recordar preferencias del usuario
   • Personalizar la experiencia
   • Estas cookies mejoran la funcionalidad pero no son esenciales
3. Cookies Analíticas:
   • Analizar el uso de la Plataforma
   • Mejorar el servicio
   • Requieren consentimiento del usuario

14.2. Control de Cookies

Los usuarios pueden:

• Aceptar o rechazar cookies no esenciales mediante la configuración de la Plataforma
• Gestionar cookies a través de la configuración de su navegador
• Eliminar cookies existentes

14.3. Impacto de Deshabilitar Cookies

Deshabilitar cookies puede afectar la funcionalidad de la Plataforma, especialmente las cookies necesarias para la autenticación y seguridad.

15. RESPONSABILIDAD DEMOSTRADA Y AUDITORÍAS

15.1. Principio de Responsabilidad Demostrada

Proyectoscol SAS adopta el principio de responsabilidad demostrada, lo cual implica:

1. Evidencia Documental:
   • Registros de autorizaciones otorgadas por los titulares
   • Documentación de medidas de seguridad implementadas
   • Reportes de incidentes y su gestión
   • Contratos con encargados del tratamiento
   • Actas y pruebas de capacitaciones
2. Registros de Actividades:
   • Logs de acceso y modificación de datos
   • Registro de consultas, quejas y reclamos
   • Historial de cambios en políticas y procedimientos
   • Evidencias de cumplimiento normativo

15.2. Auditorías

Realizamos auditorías periódicas para:

1. Auditorías Internas:
   • Verificar el cumplimiento de esta política
   • Evaluar la eficacia de las medidas de seguridad
   • Identificar áreas de mejora
   • Frecuencia: Al menos una vez al año
2. Auditorías de Cumplimiento:
   • Verificar cumplimiento de la Ley 1581 de 2012
   • Evaluar cumplimiento de estándares ISO 27001
   • Revisar contratos con encargados del tratamiento
3. Planes de Mejora:
   • Los hallazgos de auditorías generan planes de mejora
   • Se asignan responsables y plazos
   • Se monitorea el cumplimiento de los planes

15.3. Registro Nacional de Bases de Datos (RNBD)

Proyectoscol SAS se encuentra inscrito en el Registro Nacional de Bases de Datos (RNBD) cuando corresponda según la normativa vigente.

16. VERSIONADO Y COMUNICACIÓN DE CAMBIOS

16.1. Modificaciones de la Política

Proyectoscol SAS se reserva el derecho de modificar esta política de privacidad en cualquier momento. Cualquier modificación será:

1. Identificada:
   • Número de versión
   • Fecha de actualización
   • Resumen de cambios efectuados
2. Comunicada:
   • Publicación en el sitio web de la Plataforma
   • Notificación por correo electrónico a usuarios registrados (en caso de cambios significativos)
   • Avisos en la Plataforma
3. Archivada:
   • Se conservan versiones anteriores para consulta y control
   • Los usuarios pueden solicitar acceso a versiones anteriores

16.2. Cambios Significativos

Se consideran cambios significativos aquellos que:

• Modifiquen las finalidades del tratamiento
• Afecten los derechos de los titulares
• Cambien las medidas de seguridad de manera sustancial
• Modifiquen los procedimientos para ejercer derechos

16.3. Vigencia

Esta política entrará en vigor a partir de la fecha de su publicación y permanecerá activa mientras Proyectoscol SAS continúe realizando tratamientos de datos personales.

16.4. Revisión Periódica

Esta política será revisada de manera periódica, al menos una vez al año o cuando se produzcan cambios sustanciales en los procesos de tratamiento.

17. CONTACTO Y RECLAMACIONES

17.1. Canales de Contacto

Para ejercer sus derechos, presentar consultas, quejas o reclamos, los titulares pueden contactarnos a través de:

17.2. Horarios de Atención

Atención de lunes a viernes de 8:00 a.m. a 6:00 p.m. (hora Colombia)

17.3. Presentación de Reclamos ante la SIC

Si un titular no está satisfecho con la respuesta a su solicitud o considera que sus derechos han sido vulnerados, puede presentar una reclamación ante la Superintendencia de Industria y Comercio (SIC):

18. DISPOSICIONES FINALES

18.1. Ley Aplicable

Esta política, así como cualquier acuerdo mediante el cual se presten los servicios, se regirán e interpretarán de conformidad con la legislación vigente en Colombia.

18.2. Jurisdicción

Para cualquier controversia derivada del tratamiento de datos personales, las partes se someten a la jurisdicción de los tribunales de Colombia.

18.3. Separabilidad

Si alguna disposición de esta política fuera declarada inválida o inaplicable, las demás disposiciones permanecerán en pleno vigor y efecto.

18.4. Idioma

Esta política está redactada en español. En caso de traducción a otros idiomas, prevalecerá la versión en español en caso de conflicto.

19. FECHA DE ÚLTIMA ACTUALIZACIÓN

Proyectoscol SAS se compromete a proteger los datos personales de todos los titulares y a cumplir estrictamente con la normativa colombiana de protección de datos personales. Esta política refleja nuestro compromiso con la transparencia, la seguridad y el respeto por los derechos fundamentales de los titulares.

Para cualquier consulta sobre esta política, por favor contáctenos a través de los canales indicados.

Esta política de privacidad cumple con la Ley 1581 de 2012 y sus decretos reglamentarios, y refleja nuestro compromiso con los estándares de seguridad de la información establecidos en ISO/IEC 27001:2022.