1. RESPONSABLE DEL TRATAMIENTO

Responsable: ENTELIA TECHNOLOGIES SAS (operando bajo la marca comercial Vigilantia) · NIT: 902.071.871 - 4 · Barranquilla.

Correo: [email protected]

Oficial de Protección de Datos: Jean Carlo Godoy Touriño (Representante Legal)

Vigilantia da cumplimiento a la Ley 1581 de 2012, Decreto 1377 de 2013, Decreto 1074 de 2015, Circular Externa 003 de 2024 de la SIC y normas concordantes.

2. ÁMBITO DE APLICACIÓN

Aplica a datos de: Usuarios B2C, Clientes B2B (API y Portal), Personas Verificadas, visitantes web y proveedores.

3. DATOS PERSONALES QUE RECOPILAMOS

3.1. Según modalidad

Servicio B2C: datos de cuenta (nombre, correo, teléfono, contraseña hasheada), datos de Persona Verificada (nombre, cédula, antecedentes), registros de consentimiento (fecha, hora, IP, OTP, dispositivo), datos de pago (referencia, monto), datos de uso (IP, navegador, cookies técnicas), y Reportes generados.

Servicio B2B API: datos de cuenta del Cliente B2B (datos empresariales, contacto, credenciales API). NO se almacena contenido de consultas ni Reportes. Solo se conservan logs (fecha, hora, IP, tipo de consulta).

Servicio B2B Portal: datos de cuenta del Cliente B2B, Y los Reportes y resultados de consultas que SÍ se almacenan en la Plataforma. Cuando el servicio incluye Verificación KYC, se recopilan adicionalmente: imagen facial, resultado de prueba de vida (liveness), imagen del documento de identidad, datos extraídos del documento (nombre, número, fecha de expedición), y prueba de domicilio. Estos datos son almacenados tanto en la Plataforma de Vigilantia como en los sistemas del proveedor tecnológico de verificación biométrica (Encargado del Tratamiento).

3.2. Datos sensibles

Los datos de antecedentes penales, policivos y disciplinarios son datos sensibles (Art. 5, Ley 1581). Los datos biométricos (imagen facial, prueba de vida) recopilados en la Verificación KYC son igualmente datos sensibles. Su tratamiento requiere autorización explícita y reforzada del Titular, informando sobre su carácter sensible y el carácter facultativo de la autorización. Se implementan medidas de seguridad reforzadas para su protección.

3.3. Datos que NO recopilamos

Vigilantia NO recopila: datos completos de tarjetas de crédito, información bancaria sensible, datos de salud, ni datos de menores de edad.

4. FINALIDADES DEL TRATAMIENTO

Primarias: gestión de cuentas, consultas de antecedentes, facilitación de acceso vía API, generación de Reportes, verificación biométrica KYC, procesamiento de pagos, conservación de evidencia de consentimiento, atención PQRS. Secundarias: seguridad y prevención de fraude, análisis estadístico anonimizado, comunicaciones del Servicio, cumplimiento legal.

5. BASE LEGAL DEL TRATAMIENTO

•        Consentimiento expreso del Titular para datos de verificación, datos sensibles y datos biométricos (Art. 6, Ley 1581).

•        Ejecución contractual para datos necesarios del Servicio.

•        Interés legítimo para seguridad y prevención de fraude.

•        Obligación legal para registros contables y tributarios.

6. DERECHOS DEL TITULAR (HABEAS DATA)

Derechos de: acceso, rectificación, supresión, revocatoria, oposición, portabilidad, queja ante SIC. Canal: [email protected] o formulario Habeas Data. Plazos: consultas 10 días hábiles (+5 prórroga), reclamos 15 días hábiles (+8 prórroga).

7. COMPARTICIÓN Y TRANSFERENCIA DE DATOS

No vendemos datos. Compartimos con: entidades públicas nacionales e internacionales (consultas autorizadas de antecedentes y listas), Encargados del Tratamiento (pasarela de pagos, infraestructura cloud, servicios de comunicaciones, proveedor de verificación biométrica KYC), y autoridades competentes por orden judicial. Todos bajo contratos con cláusulas de confidencialidad y protección de datos.

7.1. Transferencia internacional

Proveedores de infraestructura operan desde países incluidos en la lista de países seguros de la SIC (Circular Única 005 de 2017). El proveedor de verificación biométrica KYC (Didit) tiene sede en Barcelona, España, con región de procesamiento en la Unión Europea por defecto. La Unión Europea está incluida en la lista de países con nivel adecuado de protección. Se celebran contratos con cláusulas estándar de protección conforme al Decreto 1377 de 2013.

8. CONSERVACIÓN DE DATOS

Categoría

Período

Justificación

Datos de cuenta

Vigencia + 2 años

Mientras esté activa + reclamaciones

Reportes B2C y B2B Portal

5 años

Trazabilidad legal

Datos KYC/biométricos

5 años

Trazabilidad de verificación de identidad y obligaciones regulatorias

Logs B2B API

5 años

Trazabilidad (sin contenido de reportes)

Registros consentimiento

5 años

Prueba del consentimiento (Ley 1581)

Datos de pago

10 años

Obligación tributaria

Logs de seguridad

1 año

Detección de amenazas

9. MEDIDAS DE SEGURIDAD

Cifrado TLS 1.3, cifrado en reposo, bcrypt para contraseñas, RBAC, MFA administrativo, auditorías, monitoreo continuo, respuesta a incidentes, capacitación. Medidas reforzadas para datos sensibles y biométricos.

10. AVISO DE PRIVACIDAD

Aviso al momento de recolección conforme al Decreto 1377 de 2013: en registro B2C (botón de aceptación), en formulario de consulta B2C, y en registro B2B (portal/API).

11. COOKIES

Solo cookies técnicas: sesión, CSRF, preferencias. Sin cookies publicitarias.

12. PROTECCIÓN DE MENORES

Solo mayores de 18 años. No se recopilan datos de menores.

13. AUTORIDAD DE PROTECCIÓN

SIC: Carrera 13 No. 27-00, Bogotá D.C. — www.sic.gov.co

14. CONTACTO

OPD: Jean Carlo Godoy Touriño · [email protected] · Formulario Habeas Data en la Plataforma