Volver a Comercios

Legal · Comercios

Política de tratamiento de datos personales

Versión 2.0

1. Introducción y Alcance

1.1. Objeto

La presente Política de Tratamiento de Datos Personales tiene como objeto desarrollar el derecho constitucional que asiste a todas las personas en Colombia a conocer, actualizar y rectificar las informaciones que se hayan recopilado sobre ellas en bases de datos o archivos, conforme al artículo 15 de la Constitución Política y la Ley 1581 de 2012.

1.2. Ámbito de Aplicación

Los principios y disposiciones contenidas en esta Política serán aplicables a todos los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de FACTO, incluyendo tanto los datos de clientes B2B (establecimientos) como los de usuarios finales (consumidores B2C).

1.3. Marco Legal Aplicable

  • Constitución Política de Colombia: Artículo 15 (Derecho al Habeas Data).
  • Ley 1581 de 2012: Por la cual se dictan disposiciones generales para la protección de datos personales.
  • Decreto 1377 de 2013: Por el cual se reglamenta parcialmente la Ley 1581 de 2012.
  • Decreto 1074 de 2015: Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
  • Circulares y Guías de la Superintendencia de Industria y Comercio (SIC): Incluyendo la Circular Externa 006 de 2022 sobre el uso de tecnologías avanzadas.

1.4. Vigencia de la Política

FACTO se reserva el derecho de modificar esta política en cualquier momento. Cualquier modificación sustancial será comunicada a los Titulares con al menos treinta (30) días de anticipación. La versión más reciente estará siempre disponible en facto.co/privacidad.

2. Definiciones

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  • Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Datos Sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación (origen racial o étnico, orientación política, convicciones religiosas, datos de salud, vida sexual y datos biométricos).
  • Encargado del Tratamiento: Persona natural o jurídica que realiza el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
  • Responsable del Tratamiento: Persona natural o jurídica que decide sobre la base de datos y/o el Tratamiento de los datos.
  • Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
  • Tratamiento: Cualquier operación sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  • Usuario FACTO (Consumidor B2C): Persona natural que se registra y utiliza la aplicación/plataforma de FACTO para la gestión de facturas electrónicas y acceso a insights de consumo.
  • Cliente B2B (Establecimiento): Persona jurídica o natural que, como representante legal o usuario autorizado, utiliza los servicios de FACTO Business.

3. Principios Rectores para el Tratamiento de Datos Personales

  • Legalidad: El Tratamiento es una actividad reglada que debe sujetarse a la Ley 1581 de 2012 y demás disposiciones que la desarrollen.
  • Finalidad: El Tratamiento debe obedecer a una finalidad legítima conforme a la Constitución y la ley, la cual debe ser informada al Titular.
  • Libertad: El Tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del Titular.
  • Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener información acerca de la existencia de datos que le conciernan.
  • Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales y de las disposiciones de la Ley 1581 de 2012.
  • Seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros.
  • Confidencialidad: Todas las personas que intervengan en el Tratamiento están obligadas a garantizar la reserva de la información.

4. Responsable del Tratamiento

4.1. Identificación del Responsable

  • Correo Electrónico: datospersonales@facto.co
  • Sitio Web: facto.co/privacidad

4.2. Rol de FACTO como Responsable del Tratamiento

FACTO actúa en un doble rol como Responsable del Tratamiento, dependiendo de la relación establecida: como responsable directo frente a los datos de los Usuarios que se registran en la plataforma, y como encargado cuando actúa por instrucción del Usuario Negocio en la gestión de facturas electrónicas.

5. Autorización para el Tratamiento

FACTO recolecta la Autorización de los Titulares de forma previa, expresa e informada al momento del registro en la plataforma. La Autorización podrá ser recolectada mediante medios físicos, electrónicos u otros mecanismos idóneos, y deberá estar disponible cuando el Titular o la autoridad competente la requieran.

No se requerirá Autorización cuando el Tratamiento sea necesario para: ejecutar una relación contractual con el Titular; cumplir una obligación legal; salvaguardar el interés vital del Titular; atender una situación de emergencia de salud o seguridad; o cuando el tratamiento sea autorizado por la ley para fines históricos, estadísticos o científicos.

6. Finalidades del Tratamiento

6.1. Tratamiento de Datos de Clientes B2B (Establecimientos)

FACTO trata los datos de representantes legales, empleados y usuarios autorizados de los Establecimientos para:

  • Registro y activación de la cuenta del Establecimiento en la plataforma FACTO Business.
  • Gestión de la relación contractual, incluyendo facturación, cobro y atención de solicitudes.
  • Envío de comunicaciones comerciales y promocionales relacionadas con los servicios de FACTO, previa autorización.
  • Creación de reportes y dashboards personalizados para el Establecimiento.
  • Análisis del uso de la Plataforma FACTO Business para identificar oportunidades de mejora.
  • Cumplimiento de obligaciones fiscales y atención de requerimientos de autoridades competentes.
  • Prevención de fraude y lavado de activos.

6.2. Tratamiento de Datos de Usuarios Finales (Consumidores B2C)

FACTO trata los datos de Usuarios FACTO para:

  • Gestión de facturas electrónicas recibidas en su Email FACTO.
  • Generación de insights personales de consumo, basados en sus patrones de compra.
  • Ofrecimiento de recomendaciones y ofertas personalizadas.
  • Envío de notificaciones sobre transacciones y estado de su cuenta.
  • Generación de analíticas agregadas para los Establecimientos, siempre de forma anónima para proteger la privacidad individual.

7. Tratamiento de Datos Sensibles

FACTO adopta una política restrictiva en relación con el Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles, excepto cuando: el Titular haya dado su autorización explícita; sea necesario para salvaguardar un interés vital del Titular; sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; o cuando tenga una finalidad histórica, estadística o científica con las debidas garantías de supresión de identidad.

8. Tratamiento de Datos en Sistemas de Inteligencia Artificial (IA)

FACTO aplica esta política a cualquier Tratamiento de datos, independientemente de las técnicas o tecnologías utilizadas, incluyendo el uso de sistemas de Inteligencia Artificial para la generación de analíticas y mejora de servicios, conforme a la Circular 6 de 2022 de la Superintendencia de Industria y Comercio.

FACTO se compromete a asegurar que cualquier algoritmo de IA utilizado sea diseñado de manera ética y transparente, garantizando que las decisiones automatizadas respeten los derechos de los Titulares y permitan la intervención humana cuando sea necesario.

9. Derechos de los Titulares

De conformidad con la Ley 1581 de 2012, los Titulares gozan de los siguientes derechos:

  • Derecho de Acceso: Solicitar confirmación de qué datos personales trata FACTO y obtener copia de los mismos.
  • Derecho de Rectificación: Actualizar datos incorrectos o desactualizados y completar datos incompletos.
  • Derecho de Supresión (Cancelación): Solicitar la eliminación de sus datos personales cuando no sean necesarios para las finalidades para las cuales fueron recolectados o cuando revoque el consentimiento (salvo datos requeridos por ley con mínimo 5 años de conservación).
  • Derecho de Oposición: Oponerse al Tratamiento de sus datos para fines específicos, como marketing directo.
  • Derecho a Revocar la Autorización: Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios constitucionales y legales.
  • Derecho a Ser Informado: Ser informado respecto del uso que se le ha dado a sus datos personales.
  • Derecho a Presentar Quejas: Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley 1581 de 2012.
  • Derecho a Acceder en Forma Gratuita: Acceder sin costo a sus datos personales objeto de Tratamiento.

10. Procedimiento para el Ejercicio de los Derechos de los Titulares (ARCO)

10.1. Canales de Atención

Las solicitudes, consultas y reclamos deberán dirigirse a FACTO a través del correo electrónico: datospersonales@facto.co con el asunto: "Solicitud ARCO - [Nombre del Titular] - [Tipo de Derecho]".

10.2. Procedimiento para Consultas

FACTO responderá a las consultas en un término máximo de diez (10) días hábiles, contados a partir de la fecha de recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado los motivos de la demora, sin que el nuevo plazo supere los cinco (5) días hábiles siguientes al vencimiento del primer término.

10.3. Procedimiento para Reclamos

El reclamo deberá contener: identificación del Titular, copia del documento de identidad, descripción de los hechos, la petición concreta, dirección de notificación y documentos de soporte. El término máximo para atender el reclamo será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo.

11. Transferencia y Transmisión Internacional de Datos

11.1. Países y Proveedores Autorizados

FACTO realiza transferencias internacionales de datos personales principalmente a proveedores de infraestructura tecnológica en:

  • Estados Unidos: Para el procesamiento y almacenamiento de datos, bajo estrictos estándares de seguridad.
  • Brasil: A través de proveedores como AWS SA-East y Google Cloud Southamerica-East, para almacenamiento regional y reducción de latencia.

11.2. Garantías de Protección

Para todas las transferencias internacionales, FACTO garantiza el cumplimiento de la Ley 1581 de 2012, verificando el nivel de protección de los países receptores, suscribiendo contratos con cláusulas contractuales tipo, implementando medidas de seguridad en tránsito y en reposo, y prohibiendo al receptor el uso de la información para fines no autorizados.

12. Seguridad de la Información

12.1. Medidas Técnicas

  • Encriptación: AES-256 para datos en reposo y TLS 1.3 o superior para datos en tránsito. Los backups se mantienen encriptados.
  • Control de Acceso: Autenticación multifactor (MFA), control de acceso basado en roles (RBAC), sesiones con timeout automático a los 15 minutos y registro de logs de auditoría.
  • Infraestructura: Firewalls, sistemas IDS/IPS, segmentación de redes, antivirus actualizado, parches mensuales de seguridad y monitoreo 24/7.
  • Backups: Diarios (retención 30 días), semanales (retención 90 días) y mensuales (retención 1 año), almacenados en ubicación geográfica separada.

12.2. Medidas Humanas

  • Verificación de antecedentes de empleados con acceso a datos sensibles.
  • Inclusión de cláusulas de confidencialidad en los contratos laborales.
  • Capacitación anual obligatoria en protección de datos para todo el personal.
  • Política de escritorio limpio (clean desk policy) y control de acceso físico.

12.3. Medidas Administrativas

  • Políticas y procedimientos internos claros para el tratamiento seguro de los datos personales.
  • Procedimiento establecido para la gestión y notificación de incidentes de seguridad.

13. Principio de Responsabilidad Demostrada (Accountability)

FACTO adopta el principio de responsabilidad demostrada, lo que implica la obligación de implementar medidas apropiadas y efectivas para garantizar el cumplimiento de la Ley 1581 de 2012 y estar en capacidad de demostrar dicho cumplimiento ante la SIC. El Programa Integral de Gestión de Datos Personales de FACTO abarca políticas y procedimientos internos, estructura administrativa, mecanismos de control y procesos de atención a Titulares.

14. Registro Nacional de Bases de Datos (RNBD)

14.1. Obligación de FACTO

FACTO es responsable de inscribir en el RNBD sus bases de datos: la Base de Datos de Clientes B2B (Establecimientos) y la Base de Datos de Usuarios FACTO (Consumidores B2C).

14.2. El Establecimiento NO Debe Registrar Bases de FACTO

Los Establecimientos, en su rol de Clientes B2B, NO tienen la obligación de registrar ante la SIC las bases de datos que FACTO gestiona, ya que FACTO es el Responsable del Tratamiento de esos datos.

15. Período de Vigencia de las Bases de Datos y Conservación

15.1. Plazos de Conservación

  • Datos de Clientes B2B: Durante la vigencia del contrato y por cinco (5) años adicionales tras su terminación, en cumplimiento de obligaciones fiscales y contables. Después se procederá a la eliminación segura.
  • Datos de Usuarios FACTO (B2C): Mientras el Usuario mantenga su cuenta activa. Una vez cancelada, se aplicarán los plazos adicionales establecidos en la Política de Privacidad B2C de FACTO.

16. Procedimiento de Notificación de Incidentes de Seguridad

  • Fase 1 — Detección y Contención (0-24 horas): El equipo de seguridad detecta el incidente y toma medidas inmediatas para contenerlo.
  • Fase 2 — Evaluación y Notificación (24-48 horas): FACTO evalúa la gravedad y decide si notifica a la SIC y a los Usuarios FACTO afectados, según la normativa aplicable.
  • Fase 3 — Investigación (48 horas - 7 días): Análisis forense para identificar la causa raíz y el alcance de los datos comprometidos.
  • Fase 4 — Remediación (7-30 días): Implementación de medidas correctivas, acciones preventivas y elaboración del informe final con lecciones aprendidas.

17. Modificaciones a la Política

17.1. Notificación de Cambios

  • Cambios Sustanciales: FACTO notificará a los Titulares con al menos treinta (30) días de anticipación, a través de correo electrónico y un aviso destacado en el dashboard.
  • Cambios Menores: Se publicarán en facto.co/privacidad y se informarán mediante un aviso en el dashboard.

17.2. Aceptación

El uso continuado de los servicios de FACTO después de la notificación de cambios constituye la aceptación de las modificaciones de la Política. La versión vigente de esta Política siempre estará disponible en facto.co/privacidad.

18. Contacto

Para cualquier consulta, petición, queja o reclamo relacionado con el tratamiento de datos personales, los Titulares pueden contactar a FACTO a través de:

  • Correo Electrónico: datospersonales@facto.co
  • Sitio Web: facto.co/privacidad

FACTO se compromete a atender todas las comunicaciones de manera oportuna y de conformidad con los plazos establecidos en la normativa aplicable.