Política de tratamiento de datos personales

1. Identificación del responsable del tratamiento

Razón Social: DATAICO S.A.S.

NIT: 901.223.648 – 8

Domicilio Legal: Calle 24 # 24 – 65, Parcelación El Mirador del Retiro, El Retiro, Antioquia.

Nota de Operatividad: DATAICO S.A.S. es una organización que opera bajo un modelo cien por ciento (100%) remoto. La dirección física suministrada corresponde exclusivamente a su domicilio legal y societario.

Canal Oficial de Atención: legal@dataico.com  (Único canal habilitado para el ejercicio de derechos de Habeas Data).

Sitio web: www.dataico.com

DATAICO se dedica a actividades de desarrollo de sistemas informáticos (planificación, análisis, diseño, programación, pruebas)

 

2. Objetivo

El objeto de la presente política es poner en conocimiento el tratamiento que DATAICO identificada con NIT 901.223.648-8, le da a los datos personales que posee en sus bases de datos, los derechos que le asisten a los titulares de estos datos personales y los mecanismos con que cuentan para ejercerlos, los cuales han sido y serán siempre obtenidos bajo el consentimiento previo de sus titulares.

3. Alcance 

Esta política aplica en los diferentes procesos y productos de DATAICO en donde se recolectan y/o manipulan datos personales y/o información sensible de clientes o de personas.

La presente política también será aplicable a los titulares de la información desde que envían por cualquier medio sus datos personales a DATAICO, bien sea mediante un medio electrónico, la reserva de un evento, la suscripción de un contrato y/o el envío de un formulario, comentarios, PQRS, derechos de información societario, así como la remisión de su hoja de vida.

La declaración de privacidad resulta aplicable a las bases de datos relacionadas con colaboradores, ex colaboradores, contratistas, potenciales clientes y clientes, proveedores, visitantes, accionistas de DATAICO, o de cualquier otra persona que, por algún motivo, suministre información personal a DATAICO.

Esta declaración se aplicará a todas las Bases de Datos (en adelante BDP) y/o Archivos que contengan Datos Personales de personas naturales que sean objeto de Tratamiento por parte de DATAICO.

4. Definiciones

Aviso de privacidad: Comunicación verbal o escrita otorgada por el responsable, dirigida al titular de sus Datos Personales, mediante el cual se le informa acerca de las políticas de tratamiento de la información, su aplicabilidad, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Autorización del titular: Consentimiento previo, expreso e informado del titular del dato para llevar a cabo el tratamiento de su información personal. Dicha autorización deberá ser obtenida y preservada por cualquier medio que pueda ser objeto de consulta posterior.

Base de Datos Personales (BDP): Conjunto organizado de datos personales que sean objeto de tratamiento por parte de DATAICO.

Datos personales: Cualquier pieza de información vinculada o que pueda asociarse a una o varias personas determinadas o determinables bien sean naturales o jurídicas. Los datos personales pueden ser públicos, semiprivados o privados.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyos uso indebido puede generar su discriminación, tales como que revelan el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueven intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o con el asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos personales. En el caso particular de la presente Política de Tratamiento de Datos Personales, la sociedad DATAICO tendrá la calidad de Responsable del tratamiento de los Datos Personales.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de los datos por cuenta del responsable del tratamiento.

Titular del dato: Es la persona natural o jurídica cuyos datos personales son objeto de tratamiento.

Reclamo: Solicitud del titular del dato o la persona o personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la ley.

Habeas Data: Derecho de toda persona a conocer, actualizar y rectificar toda información que haya sido obtenida sobre ella en formularios, archivos y/o bancos de datos de entidades públicas y/o privadas.

Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implican la comunicación de los mismos dentro y fuera del territorio de Colombia cuando tengan por objetivo la realización de un tratamiento por el encargado por cuenta del responsable.

Términos y Condiciones: Marco general en el cual se establecen las condiciones de acceso y uso del Sitio Web y redes sociales de DATAICO.

Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Cookies: Información enviada por un Sitio Web y almacenada en el navegador del usuario, de manera que el Sitio Web puede consultar la actividad previa del usuario. Todo el tratamiento de las Cookies podrá consultarse en www.dataico.com.

Inteligencia Artificial (IA): Sistemas basados en algoritmos que procesan datos para realizar predicciones, recomendaciones o decisiones automatizadas.

Perfilamiento: Toda forma de tratamiento automatizado de datos personales que consista en utilizar dichos datos para evaluar aspectos personales de una persona natural (rendimiento, preferencias, comportamiento).

5. Marco Legal

La presente política de Tratamiento de datos personales es elaborada de conformidad con lo dispuesto en la Constitución Política, la Ley 1581 de 2012, el Decreto Reglamentario 1074 de 2015, Único Reglamentario del Sector Comercio, Industria y Turismo y, demás disposiciones que los modifiquen, complementen o sustituyan y será aplicada por DATAICO respecto de la recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales.

6. Principios

La protección de las BDP y sus contenidos, se regirán por los siguientes principios:

Legalidad: El Tratamiento de las BDP, debe desarrollarse dentro de los límites establecidos por la normatividad vigente.

Finalidad: El Tratamiento de las BDP, debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley.

Intimidad: Todas las personas tienen derecho a su intimidad personal y familiar, así como a su buen nombre.

Autodeterminación informática: Posibilidad de la cual dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales.

Libertad: El Tratamiento de las BDP sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Seguridad: Se realizará el tratamiento con medidas técnicas, humanas y administrativas destinadas a disminuir el riesgo de adulteración, pérdida, consulta o acceso no autorizado fraudulento.

Transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener del responsable, en cualquier momento y siempre que sea posible, información acerca de la existencia de datos que le conciernen.

Jurisdicción y Ley Aplicable: Este acuerdo estará regido en todos sus puntos por las leyes vigentes en la República de Colombia y se regirá por el idioma castellano.

7. Clasificación de las Bases de Datos 

Para una gestión segura y organizada, DATAICO tratará la información personal estructurada en las siguientes bases de datos principales, cada una con finalidades específicas:

  • Clientes y Usuarios (SaaS): Incluye los datos personales y de contacto de clientes activos, usuarios registrados en la plataforma y ex-clientes. Su finalidad principal es la prestación efectiva de los servicios de software, emisión de documentos electrónicos, soporte técnico (UX/UI) y el cumplimiento de las obligaciones contractuales, contables y fiscales ante entidades como la DIAN.
  • Prospectos Comerciales (Leads): Incluye los datos de personas naturales o representantes de empresas interesadas en los productos de DATAICO, captados a través de canales digitales, eventos o referidos. Su finalidad es la gestión comercial, prospección de ventas, y el envío de información publicitaria o de mercadeo sobre nuestros servicios.
  • Colaboradores y Selección: Incluye los datos de empleados actuales, ex-colaboradores y candidatos en proceso de reclutamiento. Su finalidad es la gestión del talento humano, afiliaciones a seguridad social, pago de nómina, gestión de seguridad y salud en el trabajo (SG-SST) y el cumplimiento de la normatividad laboral vigente.
  • Proveedores: Incluye los datos de contratistas, proveedores, personas naturales y representantes de personas jurídicas. Su finalidad es la gestión de pagos, evaluación de cumplimiento, soporte de operaciones y cumplimiento de obligaciones mercantiles y tributarias.
  • Accionistas: Incluye la información de los socios o accionistas actuales y de quienes han dejado de ostentar dicha calidad. Su finalidad es el cumplimiento legal en materia societaria, pago de dividendos y citaciones a asambleas.

8. Período de vigencia de los datos.

DATAICO prohíbe expresamente la conservación indefinida («para siempre») de los datos personales. Los datos se conservarán únicamente por el tiempo razonable y necesario para cumplir la finalidad de su recolección, bajo las siguientes directrices:

  • Datos de Colaboradores y Ex-colaboradores: Se conservarán durante la vigencia de la relación laboral y hasta por veinte (20) años adicionales para cumplir con obligaciones pensionales y laborales.
  • Datos Contables, Fiscales y de Clientes (SaaS): Los datos y logs de transacciones de facturación se retendrán por el tiempo que dure la relación comercial y hasta diez (10) años adicionales para dar cumplimiento a requerimientos de la DIAN y normatividad comercial.
  • Prospectos comerciales y de selección: Se retendrán por un máximo de veinticuatro (24) meses. Cumplido este plazo sin que se materialice una vinculación, los datos serán suprimidos de forma segura. 
  • Eliminación definitiva de datos en contenedores temporales: 
    • DATAICO implementará mecanismos de eliminación definitiva (reglas TTL — Time To Live) para los datos almacenados en contenedores temporales. La eliminación bajo este mecanismo es irreversible y no genera copias de seguridad. DATAICO informará al usuario el plazo máximo de conservación temporal en el momento de la recolección. 
    • El plazo máximo de conservación temporal será informado al usuario de forma expresa en el momento de otorgar la autorización, conforme al principio de transparencia del artículo 4 de la Ley 1581 de 2012, y quedará consignado en los Términos y Condiciones del servicio.
 

9. Rol de DATAICO en el tratamiento de datos (responsable vs. encargado) 

Para efectos de la presente política, DATAICO actúa como Responsable del Tratamiento frente a los datos personales de sus colaboradores, prospectos, proveedores y los datos de contacto/facturación de sus clientes directos. Sin embargo, en la prestación de sus servicios SaaS de generación y transmisión de documentos electrónicos, DATAICO actúa exclusivamente como Encargado del Tratamiento. En este escenario, el cliente de DATAICO es el Responsable, y DATAICO se limita a procesar la información bajo sus instrucciones y estrictamente para la ejecución del servicio contratado, absteniéndose de utilizar dichos datos para finalidades propias.

Lo anterior no aplica a la funcionalidad de sincronización fiscal con la DIAN, el cual opera bajo el esquema de canal tecnológico de ejecución descrito en la sección «Tratamiento automatizado de datos fiscales mediante integración con la DIAN» de la presente política, donde es el usuario quien actúa como Responsable de su propia información fiscal.

10. Autorización del Titular

Sin perjuicio de las excepciones previstas en la ley, en el tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

Mediante autorización expresa otorgada a través de mecanismos electrónicos, entre otros telefónicamente, e mail, los dispuestos en la página web y otros medios, el titular de la información al registrarse o indicar que autoriza el tratamiento de sus datos personales y que acepta la política incluida, permite a DATAICO tratar los datos personales con el fin de: (i) Proveer los servicios de software de facturación y documentos electrónicos contratados; (ii) Garantizar el soporte técnico; (iii) Cumplir con requerimientos legales de autoridades tributarias. DATAICO no comercializa ni vende datos personales de sus usuarios a terceros bajo ninguna circunstancia. Cualquier transferencia o transmisión se realizará bajo estrictos contratos de confidencialidad y solo para fines operativos del servicio.

Al dar su autorización, el Titular acepta que los Datos Personales aportados al momento de su registro, o cualquier otro dato facilitado a DATAICO en cualquier momento, de acuerdo al tipo de vinculación o base de datos, para su acceso a algunos de los servicios, eventos, promociones, información, etc., sean utilizados con la finalidad de facilitar la relación que se establece o se pretende establecer, prestación de los servicios solicitados, para la correcta identificación de los usuarios que solicitan servicios personalizados, para la realización de estudios estadísticos de los usuarios que permitan diseñar mejoras en los servicios prestados, para la gestión de tareas básicas de administración, así como para mantenerlo informado, bien por correo electrónico o por cualquier otro medio de novedades, productos y servicios relacionados con Dataico.

11. Uso y finalidad del tratamiento de datos personales

Tipo de información sometida a nuestro tratamiento: La información objeto de tratamiento por parte de DATAICO estará constituida únicamente por los datos personales que suministran o han suministrado los titulares, como clientes, prospectos, proveedores, colaboradores, aliados y demás personas relacionadas con alguno de nuestros servicios y/o con nuestra organización.

Finalidad del tratamiento de los datos personales recolectados: En el desarrollo de su objeto social y la prestación de sus servicios SaaS, DATAICO realizará operaciones de recolección, almacenamiento, uso, circulación, análisis, perfilamiento, transmisión, transferencia y supresión de datos personales. Este tratamiento se limitará a lo estrictamente necesario, pertinente y adecuado (Principio de Necesidad), estructurándose en las siguientes categorías según el grupo de interés:

Finalidades Específicas

  • Generar la facturación electrónica respecto al consumo del cliente.
  • Identificarlo como cliente y hacerle entrega de los productos adquiridos.
  • Informar sobre nuevos productos o servicios que estén relacionados o no, con el adquirido por el Titular.
  • Atender todas sus opiniones, quejas y/o sugerencias.
  • Evaluar la calidad del servicio y los productos que le proporcionamos mediante las redes sociales y página web.
  • Confirmar la existencia legal, el giro comercial y las facultades de representación adecuadas para nuestros negocios.
  • Generar órdenes de pago.
  • Generar facturas para proveedores.
  • Acreditar las declaraciones que se asienten en los contratos civiles y/o mercantiles que realicemos.
  • Establecer una base de datos de nuestros proveedores en general.
  • La generación de un expediente único de colaboradores y aspirantes.
  • La definición de un perfil que permita la ubicación más adecuada para considerar los servicios de colaboradores dentro de DATAICO.
  • Realizar el alta y las contribuciones correspondientes a las obligaciones (empleador-teletrabajador) que determina el Código Sustantivo del Trabajo y sus demás correlativos.
  • Pagar honorarios, remuneraciones o salarios surgidos en virtud de las relaciones comerciales, civiles o laborales existentes con los titulares.
  • Cumplir con las obligaciones laborales, que se desprenden para DATAICO como empleador, incluyendo, pero sin limitarse a: la evaluación de los candidatos interesados en ser colaboradores, la vinculación laboral, procesos de capacitación, realización de evaluación del desempeño, adelantar programas de bienestar social y salud ocupacional, expedición de certificaciones laborales, la gestión de bancos de hojas de vida y jornadas de reclutamiento para contratación de personal.
  • Gestionar toda la información necesaria para el cumplimiento de las obligaciones tributarias y de registros comerciales, corporativos y contables que eventualmente recaigan en DATAICO, frente a sus proveedores, clientes y colaboradores.
  • Cumplir con las obligaciones de prevención de lavados de activos y financiación de terrorismo.
  • Proveer los servicios ofrecidos en el Sitio Web.
  • Efectuar reportes y atender requerimientos a las distintas autoridades administrativas de control y vigilancia, autoridades de policía o autoridades judiciales.
  • Análisis estadístico e investigación de mercado.
  • Transmisión de información a terceros involucrados en la prestación o comercialización de los productos o servicios ofrecidos.
  • Enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS y/o MMS) información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o promociones de tipo comercial, con el fin de impulsar, invitar, dirigir, ejecutar, informar y de manera general, llevar a cabo campañas, promociones o concursos de carácter comercial o publicitario.
  • Compartir la información a través de redes sociales y páginas de internet.
  • Para fines relacionados con la gestión y seguridad de los equipos electrónicos proporcionados por el empleador.
  • Cualquier otra finalidad que resulte en el desarrollo de la relación celebrada con el Titular.
  • Las bases de datos de clientes actuales o futuros serán recopiladas y tratadas con la finalidad de lograr una eficiente comunicación relacionada con la prestación de nuestros servicios y alianzas, a través de los diferentes canales de información utilizados por DATAICO.
  • Las bases de datos de proveedores, contratistas, colaboradores, excolaboradores, visitantes, entre otros, serán recopiladas debido a la relación comercial, profesional, laboral, entre otras y serán tratadas con fines administrativos, como contabilidad, registro de actividades, evaluación de eficiencia, gestión de procesos de pagos, cumplimiento de obligaciones legales en materia laboral y del sistema general de seguridad social que resulten aplicables Para el cumplimiento de estas finalidades, se podrán utilizar correos electrónicos, mensajes de texto y en general, por cualquier otro medio pertinentes
  • Las bases de datos de accionistas serán recopiladas y tratadas con fines corporativos, esto es convocatorias de actas de asamblea, reuniones societarias, libros de accionistas, decreto y pago de utilidades, así como ejercicios de los derechos de preferencia.
  • Sincronizar el historial fiscal del usuario mediante integración con plataformas de la DIAN u otras entidades fiscales, cuando el usuario así lo solicite y autorice expresamente, como canal tecnológico.
  • Almacenar temporalmente índices de documentos fiscales en contenedores seguros, durante el tiempo estrictamente necesario para obtener la autorización de uso definitivo por parte del usuario.
  • Facilitar al usuario el acceso técnico a su propia información fiscal registrada en la DIAN, incluyendo los datos de sus contrapartes comerciales que figuren en sus documentos fiscales, en su calidad de titular legítimo de dicha información conforme al Estatuto Tributario y la normativa de facturación electrónica colombiana vigente, sin que DATAICO SAS utilice dicha información para fines propios.

Finalidades Generales

  • Participación en distintos tipos de encuestas mediante registros o formularios online.
  • Gestión de solicitudes de suscripción de formatos electrónicos para vinculación como cliente, o bien para facilitar información relacionada con los servicios que ofrece DATAICO.
  • Hacer más sencillo el uso de los servicios y herramientas de gestión administrativa.
  • Adaptar el contenido más relevante de acuerdo con las preferencias de los usuarios de los servicios y herramientas de gestión administrativa.
  • Informar las noticias importantes de cualquier índole concernientes a DATAICO.
  • Informar sobre los productos o servicios, actualizaciones de productos, eventos y eventos especiales relacionados con el objeto social de DATAICO.
  • Promocionar productos y servicios de DATAICO, como parte de un proceso continuo de comercialización.
  • Velar por la seguridad e integridad de DATAICO.
  • Facilitar la atención de peticiones, quejas o reclamos respecto a los servicios prestados, de conformidad con el objeto social de DATAICO. .
  • Formar parte del proceso de mantenimiento y modernización de los servicios prestados por DATAICO, de conformidad con el objeto social.
  • Formar parte de medios automatizados como protocolos de comunicación.
  • Conservación de los documentos legalmente exigidos por las normas contables.
  • Actividades de mercadeo.
  • Ofrecer servicios personalizados.
  • Uso de aplicaciones tecnológicas.
  • Actualización de datos.
  • Enviar cartas y comunicaciones en general.
  • Mejorar los servicios que ofrece DATAICO.
  • Realización de estudios sobre el uso de los servicios y herramientas administrativas.
  • Gestión de peticiones, quejas y reclamos.
  • Campañas publicitarias de DATAICO.
  • En general para todo tipo de actividad relacionada con el desarrollo del objeto social de DATAICO.
  • Tratamiento automatizado de datos fiscales mediante integración con la DIAN 
    • Cuando el usuario activa la funcionalidad de sincronización fiscal y proporciona sus credenciales de acceso a la DIAN, la plataforma DATAICO actúa como canal tecnológico de ejecución que opera por instrucción directa y exclusiva del usuario, sin que DATAICO tome ninguna decisión autónoma sobre el uso, destino o finalidad de la información extraída, ni utilice tales datos para fines propios. Los datos fiscales accedidos pertenecen al usuario en su calidad de contribuyente conforme al Estatuto Tributario y la normativa de facturación electrónica colombiana vigente. Los datos de las contrapartes comerciales (emisores y receptores) que figuren en sus documentos fiscales hacen parte integral de sus propios registros fiscales, a los cuales el usuario tiene acceso legal y legítimo.  
    • El acceso técnico de la plataforma al portal de la DIAN se realiza utilizando exclusivamente las credenciales proporcionadas por el propio usuario, de forma controlada y respetando los límites técnicos del sistema externo, sin que en ningún momento dicho acceso constituya ingreso no autorizado a sistemas informáticos. 
    • DATAICO no procesa, analiza, perfila, comercializa ni utiliza esta información para finalidades propias de DATAICO SAS en ninguna fase del proceso. La información extraída se almacena de forma cifrada en contenedores seguros de la plataforma. Este esquema se fundamenta en las definiciones del artículo 3 de la Ley 1581 de 2012, conforme al cual no se configura la calidad de Encargado del Tratamiento cuando quien opera el sistema técnico no toma decisiones sobre los datos ni los utiliza para finalidades distintas a las instruidas por el Titular.
    • La plataforma DATAICO conservará un registro técnico de cada autorización otorgada por el usuario para el uso de la funcionalidad de sincronización fiscal, el cual incluirá: identificador del usuario, fecha y hora exacta de la autorización, versión del texto de autorización aceptado y dirección IP del dispositivo. Este registro se conservará como evidencia de cumplimiento normativo conforme al principio de responsabilidad demostrada de la Ley 1581 de 2012, independientemente de si los datos fiscales fueron posteriormente importados o eliminados. 
    • DATAICO monitoreará de forma periódica las condiciones técnicas y términos de uso del portal de la DIAN y de cualquier otra plataforma fiscal integrada, con el fin de garantizar que el uso de sistemas de navegación automatizada se mantenga dentro de los límites permitidos. En caso de que la entidad externa restrinja o prohíba expresamente dicho acceso automatizado, DATAICO suspenderá de forma inmediata la funcionalidad correspondiente e informará a los usuarios afectados

12. Política especial de tratamiento de imágenes.

DATAICO puede tomar fotografías previa autorización de sus clientes, colaboradores, ex colaboradores, contratistas y accionistas, con la finalidad de difundir en redes sociales, las actividades amigables desarrolladas por DATAICO con fines publicitarios, tanto de sus productos y servicios, como de la atención al capital humano y seguridad del vehículo societario.

En la medida que este tipo de información ya no sea relevante, DATAICO irá depurando de manera definitiva de todos sus repositorios los contenidos y archivos fotográficos digitales, sin guardar copias de seguridad. Lo anterior, sin perjuicio de las obligaciones laborales, comerciales y contractuales.

Los datos relacionados con las fotografías resultan estrictamente necesarios para su tratamiento, como lo son nombres de las personas fotografiadas, su identificación y su lugar de ubicación. Estos datos también serán eliminados de conformidad con las reglas antes señaladas.

13. Políticas Generales de Tratamiento.

  • En la recolección, tratamiento y circulación de datos se respetará el principio de libertad y demás garantías consagradas en la Constitución y en la Ley.
  • La recolección de datos personales se realizará, bien sea, a través de la suscripción de manera electrónica de contratos para la adquisición de servicios, formatos de vinculación como cliente, y demás que se encuentren relacionados con el objeto de DATAICO.
  • DATAICO no solicitará datos sensibles a los titulares de la misma, a menos que resulte indispensable para la adecuada prestación de sus servicios o el mantenimiento de una relación laboral o contractual, de conformidad con el objeto social de DATAICO y las actividades propias de las Oficinas de Representaciones. Por lo cual, si el Titular considera necesario proporcionar datos sensibles, DATAICO solicitará que estos sean remitidos junto con la autorización expresa, permitiendo así su Tratamiento de conformidad con la presente política y la normatividad aplicable. 
  • La utilización y el procesamiento de datos personales requerirán la autorización previa del Oficial de Protección de Datos en los siguientes casos: creación de nuevas bases de datos que contengan información personal, modificación de la finalidad del tratamiento, intención de compartir datos con terceros (tanto nacionales como internacionales), implementación de nuevas tecnologías o procesos que involucren datos personales (como la implementación de un nuevo sistema CRM) y la ocurrencia de incidentes de seguridad o riesgos que afecten los derechos del titular.
  • Sólo el colaborador designado por DATAICO podrá actualizar, corregir y/o suprimir la información de las BDP por solicitud del titular y/o por inexactitud de los datos.
  • El colaborador designado por DATAICO será el único autorizado para responder las quejas, denuncias y/o reclamos de los titulares de la información remitidas al buzón de correo que se haya definido al respecto.
  • El envío, cesión y/o transmisión de las BDP estará limitado única y exclusivamente a aquellos datos personales para los cuales se cuente con autorización de ser transferidos a terceros, siempre que sea dentro de los límites de la finalidad, necesidad y pertinencia para la cual fueron creados.
  • Se establecerán en Colombia como canales mínimos de información y de comunicación a favor de los titulares de los datos personales: correo electrónico, para que aquellos puedan consultar, rectificar y/o revocar la autorización respecto del uso de sus datos personales.
  • La información personal sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, teniendo en cuenta el principio de seguridad establecido en la Ley 1581 de 2012.
  • Todas las personas a nombre de DATAICO que intervengan en el Tratamiento de datos personales, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación laboral.

A. Tratamiento de datos en grabaciones, videollamadas y chats

Como parte de la prestación del servicio, soporte técnico e investigación de experiencia de usuario (UX), DATAICO podrá grabar sesiones de videollamada (ej. Google Meet) y almacenar historiales de chat (ej. Hubspot). Estos datos (voz, imagen, interacciones) se utilizarán exclusivamente para fines de análisis de calidad, mejora continua del producto y soporte al cliente. DATAICO notificará siempre de manera previa al inicio de cualquier grabación para que el titular otorgue su consentimiento de forma inequívoca o, en su defecto, abandone la sesión.

B. Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial (IA)

DATAICO podrá utilizar tecnologías de Inteligencia Artificial (IA) para el tratamiento de datos personales, de conformidad con la Ley 1581 de 2012, la Circular Externa 002 de 2024 de la Superintendencia de Industria y Comercio (SIC) y demás disposiciones reglamentarias, implementando estándares de Responsabilidad Demostrada para el uso ético y adecuado de estas soluciones.

El manejo de los datos por medio de IA se realizará bajo finalidades legítimas y autorizadas. Previo al desarrollo o implementación de cualquier sistema de IA, DATAICO realizará y documentará una ponderación que garantice que el tratamiento es idóneo, necesario, razonable y proporcional. Asimismo, ejecutará un Estudio de Impacto de Privacidad en aquellos proyectos que entrañen un alto riesgo para los derechos de los Titulares.

En cumplimiento del estándar de transparencia y protección al Titular, DATAICO establece los siguientes lineamientos:

  • Sistemas de IA en uso: Se podrá interactuar con datos personales a través de sistemas de IA destinados a: (i) la elaboración de perfiles comerciales para la mejora de la usabilidad de la plataforma SaaS; (ii) procesos de selección de colaboradores y definición de perfiles prestacionales; (iii) la prestación de servicios de soporte técnico y atención al cliente mediante asistentes virtuales; y (iv) análisis estadísticos para la prevención de fraudes o vulnerabilidades de seguridad.
  • Derecho a la Explicación y Oposición: Los Titulares tienen derecho a obtener información clara y sin restricciones acerca de la lógica aplicada en el tratamiento automatizado de sus datos. Podrán oponerse a decisiones basadas únicamente en IA (incluida la elaboración de perfiles) cuando estas produzcan efectos jurídicos o les afecten significativamente.
  • Intervención Humana y No Discriminación: DATAICO garantiza que el tratamiento mediante IA no generará sesgos ni discriminación. Ninguna decisión que afecte derechos fundamentales será tomada de manera exclusivamente autónoma por una máquina; un agente humano cualificado tendrá siempre la capacidad de monitorear, revisar, validar y corregir los resultados, lo cual podrá ser solicitado expresamente por el Titular.
  • Privacidad desde el Diseño: Se priorizará la minimización de datos y el uso de técnicas matemáticas de anonimización o privacidad diferencial (uso de datos sintéticos) para impedir la identificación de los Titulares dentro de los procesos de analítica y entrenamiento algorítmico.

C. Tratamiento de Datos Sensibles y de menores de edad (NNA)

Por regla general, DATAICO no solicita datos sensibles ni de menores de edad a sus clientes, prospectos o usuarios de la plataforma SaaS. No obstante, en el marco de la relación laboral y de selección, el proceso de People recolectará esta información bajo parámetros estrictos y con finalidades exclusivas de afiliación a seguridad social, cumplimiento del Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST) y bienestar laboral.

Para el tratamiento de esta información de especial protección, DATAICO aplicará los siguientes lineamientos:

  1. Reglas para los Datos Sensibles (Salud, incapacidades, biometría): El suministro de datos sensibles es de carácter estrictamente facultativo. DATAICO informará de manera clara y explícita al Titular que no está obligado a autorizar el tratamiento de estos datos.
  2. Reglas para los Datos de Niños, Niñas y Adolescentes (NNA): El tratamiento de datos de menores está prohibido, excepto cuando se trate de datos de naturaleza pública o cuando se requiera procesar datos privados/sensibles de los hijos de nuestros colaboradores. Para este último caso, se deberán cumplir los siguientes requisitos concurrentes:
  • Que responda y asegure el interés superior de los menores.
  • Que se garantice el respeto irrestricto de sus derechos fundamentales.
  • Que se cuente con la autorización previa y expresa del representante legal, habiendo valorado la opinión del menor según su madurez y capacidad de entendimiento.

Medidas de Seguridad (ISO 27001): Al tratarse de información de alto riesgo, DATAICO aplicará medidas técnicas y organizativas de seguridad reforzadas (cifrado, control de acceso estricto y acuerdos de confidencialidad) para evitar la adulteración, pérdida, consulta o acceso no autorizado a estos registros.

14. Derechos del Titular de la Información

De acuerdo con la ley, los Titulares tienen los siguientes derechos:

Actualización: Actualizar los datos personales que reposen en las bases de datos de DATAICO para mantener su integridad y veracidad.

Conocimiento y Acceso: Conocer y acceder a sus Datos Personales almacenados por DATAICO o los encargados. Este acceso se permitirá de forma gratuita según solicitud al menos una vez al mes.

Prueba: Solicitar prueba de la autorización otorgada a DATAICO, salvo que la ley indique que dicha autorización no es necesaria o que la misma haya sido validada.

Queja: Presentar ante las autoridades competentes quejas por infracciones a la ley cuando se haya agotado el requisito de procedibilidad y acudir en primera instancia a DATAICO.

Rectificación: Rectificar la información y los Datos Personales que estén bajo el control de DATAICO.

Solicitud: Presentar solicitudes ante DATAICO o el encargado respecto del uso que les han dado a sus Datos Personales.

Revocación: Solicitar la revocatoria de la autorización, siempre y cuando no exista un deber legal o una obligación de carácter contractual en cabeza del Titular con DATAICO, según la cual el Titular no tenga el derecho de solicitar la supresión de sus Datos Personales.

Supresión: Solicitar la supresión de sus Datos Personales de las bases de datos de DATAICO, siempre y cuando no exista un deber legal o una obligación de carácter contractual en cabeza del Titular con DATAICO, según la cual el Titular no tenga el derecho de solicitar la supresión de sus Datos Personales.

Ejercicio de derechos por parte de terceros (emisores/receptores de facturas): En el caso de datos de contrapartes comerciales de los usuarios (emisores o receptores) que figuren en los documentos fiscales de un usuario de la plataforma, y que hayan sido accedidos a través de la funcionalidad de sincronización fiscal, los titulares de dichos datos podrán ejercer sus derechos ante DATAICO a través del canal oficial (legal@dataico.com). DATAICO trasladará la solicitud al usuario correspondiente en un término máximo de dos (2) días hábiles, dado que es el usuario, en su calidad de contribuyente titular de los documentos fiscales, quien tiene la facultad de responder sobre el uso de dicha información.

A. Procedimiento para el ejercicio de los derechos del titular de datos

DATAICO se encargará de responder las quejas, solicitudes o reclamos con arreglo a lo dispuesto en las normas de protección de Datos Personales.

Para el ejercicio de sus derechos a conocer, actualizar, rectificar y suprimir los Datos Personales almacenados en las bases de datos de DATAICO y revocar la autorización de uso y almacenamiento de dicha información personal, el Titular de los Datos Personales debe dirigir la solicitud o reclamo respectivo por escrito a la información de contacto suministrada para el tratamiento de Datos Personales.

Los titulares de los datos personales o sus causahabientes, podrán ejercer los derechos antes mencionados bajo las siguientes reglas:

  • Los derechos de consulta, rectificación, actualización o supresión o revocatoria del consentimiento únicamente se podrán ejercer por el titular o sus causahabientes, previa acreditación de su identidad. Su representante, previa acreditación de la representación.
  • Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada. La solicitud de consulta, rectificación, actualización, supresión o revocatoria debe ser presentada por escrito a través de los medios habilitados por DATAICO  y contener, como mínimo, la siguiente información:
  • El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta.
  • Los documentos que acrediten la identidad del solicitante y en caso dado, la de su representante con la respectiva autorización.
  • La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos y la solicitud concreta.

B. Proceso encargado, gobernanza y procedimiento de pqrs

Oficial de Protección de Datos (OPD): DATAICO S.A.S. ha designado al Governance and Compliance Director para ejercer integralmente la función de Oficial de Protección de Datos. Este proceso es el encargado de velar por la implementación efectiva del Sistema de Gestión de Protección de Datos (SGPD), asegurar la alineación con la norma ISO 27001 y tramitar las peticiones, consultas y reclamos de los titulares.

Funciones del Oficial de Protección de Datos: Entre sus responsabilidades principales se encuentran: (i) Coordinar la protección de datos entre los procesos; (ii) Supervisar los procedimientos de atención a Titulares; (iii) Verificar la implementación de medidas de seguridad y formación; (iv) Atender requerimientos de la autoridad de protección de datos (SIC); y (v) Revisar y aprobar acuerdos de transmisión y transferencia de datos.

Canales de Atención y Modelo Remoto: Dado que DATAICO opera bajo un modelo de trabajo cien por ciento (100%) remoto, el único canal oficial y exclusivo habilitado para la recepción de solicitudes de Habeas Data es el correo electrónico: legal@dataico.com . La dirección física de la compañía corresponde únicamente al domicilio legal y no está habilitada para la recepción de correspondencia física de esta índole.

Validación de Identidad (Seguridad ISO 27001): Por razones estrictas de seguridad, DATAICO no tramitará solicitudes de supresión, acceso o actualización a través del chat de Soporte en vivo o redes sociales. Toda solicitud deberá ingresar por el canal oficial (legal@dataico.com ), adjuntando copia del documento de identidad del Titular o acreditando su identidad mediante los mecanismos de autenticación de la plataforma, para prevenir accesos no autorizados o suplantaciones.

C. Procedimiento para el ejercicio de los derechos (consultas, reclamos y supresión

Los Titulares, sus causahabientes o representantes podrán ejercer sus derechos de conocimiento, actualización, rectificación y supresión de datos, enviando una solicitud formal al canal único habilitado: legal@dataico.com .

Para garantizar la seguridad de la información frente a suplantaciones, toda solicitud deberá ir acompañada de la copia del documento de identidad del Titular. Si es presentada por un causahabiente o representante legal, deberá adjuntar el documento que acredite dicha calidad.

DATAICO tramitará las solicitudes bajo las siguientes reglas establecidas en la Ley 1581 de 2012:

  1. Trámite de Consultas (Conocer la información): Los titulares podrán consultar la información personal suya que repose en cualquier base de datos de DATAICO. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá, la cual en ningún caso superará los cinco (5) días hábiles siguientes al vencimiento del primer término.
  2. Trámite de Reclamos (Corrección, actualización o queja): El Titular que considere que la información debe ser corregida, actualizada o suprimida, o advierta un presunto incumplimiento de la ley, podrá presentar un reclamo que deberá contener: (i) Identificación clara del Titular; (ii) Descripción de los hechos; (iii) Dirección de notificación; y (iv) Documentos que se quieran hacer valer.
  • Reclamo incompleto: Si el reclamo resulta incompleto, DATAICO requerirá al interesado dentro de los cinco (5) días siguientes a la recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información, se entenderá que ha desistido del reclamo.
  • Leyenda de seguridad: Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles.
  • Tiempos de respuesta: El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a su recibo. Cuando no fuere posible atenderlo en dicho término, se informará los motivos de la demora y la fecha de respuesta, la cual no superará los ocho (8) días hábiles siguientes al vencimiento del primer término.
  1. Reglas Especiales para la Supresión de Datos: DATAICO analizará cada requerimiento de supresión. La eliminación de los datos procederá siempre y cuando no exista un deber legal o una obligación de carácter contractual en cabeza del Titular con DATAICO que impida su borrado (por ejemplo: retención de información fiscal y contable exigida por la DIAN, o la vigencia de un contrato de prestación de servicios SaaS). En caso de negativa legítima, DATAICO le informará al Titular fundamentando la base legal aplicable, permitiéndole, si aplica, una revocatoria parcial de finalidades secundarias (ej. mercadeo).

15. Deberes de DATAICO como responsable y encargado del tratamiento de los Datos Personales

Responsable

DATAICO estará encargada de la recolección, protección y el tratamiento de datos personales, impidiendo que se deterioren, pierdan, alteren o se usen sin autorización, así como de conservarlos con la debida seguridad. Por medio de la herramienta de gestión se atenderán las peticiones, quejas y consultas de los titulares de los datos. Adicionalmente, los titulares de la información pueden ejercer sus derechos de conocer, actualizar, rectificar y suprimir sus Datos Personales según se define a continuación, enviando su solicitud al correo electrónico indicado en el encabezado de la presente política.

Protección de datos personales

DATAICO ha establecido las siguientes reglas generales para la protección de las bases de datos con datos personales sensibles:

  • Obtener y utilizar los datos personales que se requieran para el desarrollo de su objeto y para atender en debida forma la relación que establezca con el titular del Dato, de modo que se evite solicitar información ajena a dichos propósitos.
  • Al solicitar la respectiva autorización al titular de los datos personales, DATAICO:
  • Informará de una manera clara y suficiente a las personas titulares de los datos sobre la finalidad de la recolección y los derechos que le asisten por la autorización otorgada.
  • Se obtendrá la autorización de forma previa al tratamiento de los datos personales. Esto debe hacerse al momento de la recolección.
  • Se definirán y se socializarán los medios por los cuales se permita la consulta posterior de la autorización recolectada.
  • Garantizar al usuario, en cualquier momento, el pleno y efectivo ejercicio del derecho de hábeas data. Es decir, conocer, actualizar o rectificar sus datos personales.
  • Informar a solicitud del usuario las veces que lo solicite sobre el uso de sus datos personales.
  • Obtener una nueva autorización por parte del titular, en el caso de que DATAICO requiera los datos para una finalidad distinta a la previamente informada a su titular y autorizada por este.
  • Adoptar e incorporar a sus procesos, los mecanismos para que los titulares de los datos personales, puedan conocer, consultar, actualizar, rectificar y suprimir sus datos, como también para que puedan ejercer sus derechos para revocar la autorización cuando consideren procedente.
  • Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos señalados en este manual de políticas.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Suministrar al encargado del tratamiento únicamente los datos personales que está autorizado a suministrar a terceros.
  • Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Comunicar de forma oportuna al encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado.
  • Exigir al encargado del tratamiento, en todo momento el respeto a condiciones de seguridad y privacidad de la información del titular.
  • Informar al encargado del Tratamiento cuando determinada información se encuentre en discusión por parte del Titular.
  • Velar por la confidencialidad de los Datos Personales. Dicha información será conocida y manejada por los colaboradores autorizados por DATAICO. para ello. El deber de reserva de los colaboradores frente a los Datos Personales a los que tenga acceso se extiende después de finalizar la actividad realizada por éste en relación con el tratamiento.
  • Garantizar al Titular de los Datos Personales, que los terceros (proveedores y contratistas) que acceden a la información confidencial velen por su seguridad y también se responsabilicen de ellas.
  • Informar a las autoridades competentes en los términos que señala la ley las situaciones relevantes relativas a la administración de los Datos Personales que son objetos de tratamiento por parte de ella.
  • Los datos personales permanecerán en las bases de datos de DATAICO mientras persista la finalidad para la cual fueron recolectados. Una vez finalizada la relación (contractual, laboral o comercial), los datos se conservarán por un periodo de diez (10) años adicionales para cumplir con obligaciones legales, contables y fiscales, así como para la defensa en posibles reclamaciones legales. Cumplido este término, se procederá a la supresión segura o anonimización de la información.
  • Velar porque se registren en los términos de la normatividad vigente, las bases de datos que contengan Datos Personales objeto de tratamientos por su parte.
  • Garantizar la implementación para que las políticas y procedimientos previstos por parte de DATAICO. en este manual sea divulgado, e incluidas sus modificaciones en forma adecuada y oportuna.

Deberes mínimos del encargado en caso de existir

En caso de existir uno o más encargados del tratamiento de bases de datos, se establecerán contractualmente los siguientes deberes.

  • Dar tratamiento a nombre del Responsable a las BDP conforme a los principios que las tutelan.
  • Salvaguardar la seguridad de las BDP con el propósito de evitar su acceso, adulteración, destrucción no autorizados o fraudulentos, así como para evitar la fuga de información.
  • Guardar confidencialidad respecto del tratamiento y contenido de las BDP.
  • Inscribir y actualizar las BDP ante la Delegatura de Datos Personales de la Superintendencia de Industria y Comercio, en el caso que esto resulte aplicable, de conformidad con la normatividad que rige la materia.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Tramitar las consultas y reclamos formulados por los titulares de la información, siempre que le sea posible.
  • Garantizar al Titular de la información personal, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Informar al Responsable para que éste proceda con la actualización, rectificación o supresión de los datos en los términos de la presente ley.
  • Aceptar, aplicar y cumplir lo establecido en las presentes políticas para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
  • Informar al Responsable y a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
  • Las demás establecidas por la normatividad que resulte aplicable.
  • Garantizar al Titular el pleno ejercicio del derecho de hábeas data.
  • Conservar prueba de la autorización otorgada por el Titular.
  • Informar claramente la finalidad de la recolección.
  • Informar a la autoridad de protección de datos (SIC) cuando se presenten violaciones a los códigos de seguridad o existan riesgos en la administración de la información de los titulares.

16. Medidas de seguridad de la información aplicadas al tratamiento de bases de datos

Almacenamiento de Datos Personales.

Las BDP estarán almacenadas en discos duros y en la nube, restringidos por claves de seguridad, según corresponda. Los colaboradores autorizados para tal fin serán los únicos con acceso a ellas. El Oficial de Protección de Datos podrá solicitar en cualquier momento informes del almacenamiento de datos personales y de la seguridad de los mismos a los colaboradores autorizados para tal fin.

Seguridad de las BDP

DATAICO, en estricta aplicación del Principio de Seguridad en el Tratamiento de Datos Personales, proporcionará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, mediante contratos de confidencialidad, acceso restringido a bases de datos, y cambio periódico de contraseñas de acceso. La obligación y responsabilidad de DATAICO se limita a disponer de los medios adecuados para este fin. DATAICO no garantiza la seguridad total de su información ni se responsabiliza por cualquier consecuencia derivada de fallas técnicas o del ingreso indebido por parte de terceros a la Base de Datos o Archivo en los que reposan los Datos Personales objeto de Tratamiento por parte de DATAICO y/o sus Encargados. DATAICO exigirá a los proveedores de servicios que contrata, la adopción y cumplimiento de las medidas técnicas, humanas y administrativas adecuadas para la protección de los Datos Personales en relación con los cuales dichos proveedores actúen como encargados.

Registro técnico de consentimientos (Log de autorizaciones): Para los módulos de integración con plataformas fiscales externas (DIAN), la plataforma DATAICO conservará un registro técnico inmutable de cada autorización otorgada por el usuario, que incluirá como mínimo: (i) identificador único del usuario; (ii) fecha y hora exacta de la autorización con zona horaria; (iii) versión del texto de autorización aceptado; (iv) dirección IP del dispositivo desde el cual se otorgó la autorización; y (v) fase autorizada (extracción temporal o importación definitiva). Este registro se conservará como evidencia de cumplimiento normativo en los términos del principio de responsabilidad demostrada de la Ley 1581 de 2012, durante el mismo período de conservación aplicable a los datos de la base de datos de Clientes y Usuarios SaaS, con independencia de si los datos fiscales fueron posteriormente importados o eliminados. 

Tratamiento de datos de navegación (log data y cookies)

En el marco de la prestación de nuestros servicios digitales y la operación de la plataforma SaaS, DATAICO recolecta información técnica de navegación para garantizar la seguridad, operatividad y mejora continua de la experiencia del usuario.

  1. Datos de Registro (Log Data): Al acceder a la plataforma o sitio web, nuestros servidores registran automáticamente información técnica, la cual puede incluir: dirección IP, tipo y versión del dispositivo y navegador, configuración de zona horaria, proveedor de servicios de internet (ISP) y registros de actividad (tiempos de sesión, clics y búsquedas). Estos datos se utilizan con finalidades estrictas de seguridad informática, prevención de fraudes y soporte técnico.
  2. Uso de Cookies y Tecnologías Similares: DATAICO utiliza «Cookies» (pequeños archivos de texto instalados en el navegador del usuario) y tecnologías similares para personalizar la experiencia. Las finalidades de estas tecnologías son:
  • Cookies Esenciales: Necesarias para el funcionamiento de la plataforma (ej. mantener la sesión activa sin necesidad de introducir la clave repetidamente o recordar preferencias de seguridad).
  • Cookies Analíticas y Comerciales: Utilizadas para comprender el comportamiento demográfico, analizar métricas de uso y mejorar nuestras iniciativas comerciales, promocionales y de producto.
  1. Control y Gestión por parte del Titular: La instalación de cookies no esenciales está sujeta al consentimiento del usuario. El titular podrá, en cualquier momento, gestionar sus preferencias, bloquear o eliminar las cookies a través de la configuración de su navegador web o mediante el panel de gestión de cookies habilitado en el sitio web de DATAICO.
  2. Seguridad y Herramientas de Terceros: DATAICO implementa controles de seguridad (bajo el estándar ISO 27001) para proteger la información recolectada mediante estas tecnologías. En los casos donde se utilicen herramientas analíticas provistas por terceros (ej. Google Analytics), DATAICO garantiza que dichos proveedores actúan bajo acuerdos de confidencialidad y transmisión segura de datos.

17. Gestión y notificación de incidentes de seguridad

En cumplimiento de la norma ISO 27001 y la Ley 1581 de 2012, ante cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de los datos personales (acceso no autorizado, pérdida, robo o alteración), DATAICO activará su Plan de Respuesta a Incidentes.

DATAICO notificará a la Superintendencia de Industria y Comercio (SIC) y, cuando sea procedente, a los Titulares afectados, dentro de un plazo máximo de setenta y dos (72) horas tras el conocimiento del hecho. Esta gestión se realizará conforme a los protocolos de seguridad establecidos en el Sistema de Gestión de Seguridad de la Información (SGSI) de la organización.

18. Transferencia y transmisión internacional de datos personales

DATAICO, podrá realizar operaciones de flujo transfronterizo de datos personales bajo las siguientes modalidades y requisitos:

1. Transmisión de Datos (Uso de Proveedores) 

DATAICO podrá entregar datos personales a terceros, nacionales o extranjeros, en calidad de Encargados (tales como proveedores de infraestructura en la nube, servidores de almacenamiento, herramientas de CRM o servicios de soporte técnico) para que realicen el tratamiento por cuenta de DATAICO y bajo sus estrictas instrucciones.

En virtud de que DATAICO aloja su infraestructura tecnológica en servidores internacionales (ej. Estados Unidos), se informa que estas operaciones de transmisión internacional no requerirán de una autorización adicional por parte del Titular, siempre que exista un Contrato de Transmisión de Datos suscrito en los términos del Decreto 1074 de 2015, mediante el cual el proveedor (Encargado) se obligue a dar cumplimiento a la presente política, a garantizar la seguridad de la información (ISO 27001) y a utilizar los datos exclusivamente para las finalidades delegadas.

2.Transferencia de Datos (Terceros Responsables) 

DATAICO podrá transferir información personal a terceros que actúen como Responsables independientes del Tratamiento (como instituciones vinculadas, aliados comerciales o en casos de reorganización empresarial, fusión o venta) para que estos decidan sobre la finalidad y uso de los datos. Para estas operaciones, DATAICO verificará que se cumpla al menos uno de los siguientes requisitos:

  • Que el Titular haya otorgado su autorización previa, expresa e inequívoca para la transferencia.
  • Que el país receptor cuente con niveles adecuados de protección de datos conforme a los estándares fijados por la Superintendencia de Industria y Comercio (SIC).
  • Que la operación se enmarque en alguna de las excepciones legales previstas en el artículo 26 de la Ley 1581 de 2012 (como transferencias bancarias, cumplimiento de tratados internacionales, etc.).

3. Compromiso de Seguridad en Flujos Internacionales 

Para cualquier flujo de información nacional o internacional, DATAICO asume el compromiso de verificar los estándares de seguridad del receptor, priorizando proveedores que cumplan con certificaciones internacionales de ciberseguridad. Asimismo, gestionará las declaraciones de conformidad ante la autoridad de control cuando sea procedente y suscribirá los instrumentos jurídicos que garanticen que el destinatario respete la privacidad de la información de conformidad con la normativa colombiana vigente.

19. Modificaciones a la Política de Privacidad y Tratamiento de Datos

Esta Política podrá ser modificada de tiempo en tiempo por DATAICO y hará parte de los contratos que celebre donde resulte pertinente. Toda modificación sustancial de esta Política tendrá que ser comunicada previamente a los Titulares por medio de mecanismos eficientes, tales como el Sitio Web de DATAICO y/o correos electrónicos. De ser requerido por la legislación aplicable, también se buscará obtener la autorización de los Titulares.

Por modificaciones sustanciales se entienden, entre otras, las relacionadas con el ejercicio de los derechos de los Titulares y con las finalidades del tratamiento de Datos Personales cuando ello pueda afectar la autorización.

DATAICO podrá modificar la Declaración de privacidad en cualquier momento, informando de forma pública a los titulares, a través del sitio web de DATAICO, quienes deberán en todo momento estar pendientes de toda posible modificación.

Si el titular de los datos personales no está de acuerdo con el aviso de privacidad, puede enviar en cualquier momento un correo electrónico a los datos de contacto, revocando expresamente su autorización respecto del tratamiento de sus datos personales. Los titulares podrán revocar su consentimiento en cualquier momento, de forma total o parcial.

  • Revocatoria Parcial: Aplica para finalidades no esenciales (como mercadeo o publicidad). El titular podrá seguir usando los servicios de DATAICO.
  • Revocatoria Total: Si recae sobre datos indispensables para la prestación del servicio SaaS o cumplimiento de obligaciones legales (como facturación electrónica ante la DIAN), la revocatoria podría implicar la imposibilidad técnica de continuar prestando el servicio, caso en el cual se informará previamente al titular antes de proceder con la supresión.

20. Registro nacional de bases de datos (RNBD)  

De conformidad con el Decreto 090 de 2018 (que modifica el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015), DATAICO S.A.S. declara que actualmente no se encuentra obligada a registrar sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio,  en razón a que sus activos totales no superan las 100.000 UVT. No obstante, DATAICO garantiza que el tratamiento de la información cumple con todos los principios de seguridad, confidencialidad y legalidad exigidos por la Ley 1581 de 2012. En el evento en que la compañía supere dicho umbral en el futuro, procederá con la respectiva inscripción dentro de los plazos legales establecidos.

21. Fecha de Entrada en Vigencia

La presente Política de Tratamiento de Datos Personales (Versión 4.0) entra en vigencia a partir del 20 de abril de 2026. Este documento deroga y sustituye cualquier política o lineamiento anterior publicado por DATAICO S.A.S. sobre la materia.

Versión: 4.0

Nos estamos transformando...

X

Privacy Preference Center

Privacy Preferences