Política de Privacidad
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recolectados a través del sitio web y la plataforma Punsel es Inversiones RM S.A.S., identificada con NIT 901778029-0, con domicilio en Bucaramanga, Santander, Colombia.
El canal oficial de contacto del Delegado de Protección de Datos (DPO) para consultas, reclamos y ejercicio de derechos es: [email protected].
2. Datos recolectados
Cuenta de empresa cliente (B2B): nombre legal, NIT, dirección comercial, datos de contacto (correo electrónico, teléfono opcional) y datos del representante legal o usuarios autorizados de la cuenta.
Clientes finales del programa de fidelidad del cliente B2B: el detalle completo de las categorías, finalidades y derechos sobre los datos de los clientes finales del programa loyalty se encuentra en la Política de Tratamiento de Datos Personales, conforme Ley 1581/2012 y Decreto 1377/2013.
Datos de uso de la plataforma: registros (logs) que incluyen dirección IP, agente de usuario (user-agent), marcas temporales (timestamps), eventos técnicos de error y métricas anonimizadas de uso, con el único fin de mejorar el Servicio.
3. Finalidad del tratamiento
Los datos personales se tratan con las siguientes finalidades:
- Provisión del Servicio: operación de la plataforma loyalty, habilitación del panel de administración, emisión del pase digital al cliente final, soporte y atención al cliente B2B.
- Cumplimiento legal y regulatorio: facturación, contabilidad, retención de comprobantes, atención de requerimientos de autoridad competente y cumplimiento del régimen de Habeas Data (Ley 1581/2012 y Decreto 1377/2013).
- Analítica agregada de producto: medición de uso anonimizada para mejora del Servicio. No se realiza perfilamiento individual sin consentimiento expreso del titular.
4. Derechos del titular
Conforme al artículo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene derecho a:
- Conocer, actualizar y rectificar sus datos personales.
- Solicitar prueba de la autorización otorgada para el tratamiento de sus datos.
- Ser informado, previa solicitud, sobre el uso que se le ha dado a sus datos personales.
- Revocar la autorización y/o solicitar la supresión de los datos cuando no se respeten los principios, derechos y garantías constitucionales y legales.
- Acceder de forma gratuita a sus datos personales.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracción a la Ley 1581 de 2012.
El procedimiento detallado de ejercicio de estos derechos, los plazos legales aplicables (Art. 14 y 15 Ley 1581) y los canales de atención están descritos en la Política de Tratamiento de Datos Personales.
5. Seguridad de la información
Punsel aplica medidas técnicas y organizativas para proteger los datos personales contra acceso no autorizado, alteración, divulgación o destrucción. Las medidas técnicas incluyen, sin limitarse a:
- Cifrado en tránsito: TLS 1.3 con Cloudflare Full Strict y certificados Let's Encrypt en todos los dominios públicos.
- Cifrado en reposo: PostgreSQL 16 con extensión pgcrypto (AES-256) sobre las columnas que contienen datos personales sensibles.
- Hashing de contraseñas: Argon2id con parámetros endurecidos (memoria 64 MB, 3 iteraciones, paralelismo 4) — nunca se almacenan contraseñas en texto plano.
- Control de acceso: roles y permisos (RBAC) + autenticación con JWT y tokens de refresco con rotación obligatoria.
- Auditoría: registro append-only de eventos sensibles (audit log) con retención mínima de dos (2) años conforme al artículo 17 de la Ley 1581.
- Copias de respaldo: cifrado GPG asimétrico y almacenamiento off-site en Cloudflare R2, con política de retención 30 días / 6 meses / 2 años.
6. Transferencias internacionales de datos
Algunos de los encargados del tratamiento (subprocesadores) operan centros de datos en Estados Unidos. Conforme a la Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio (SIC), Estados Unidos es considerado país con nivel adecuado de protección de datos personales.
Listado actual de subprocesadores:
- Hetzner Online GmbH (Alemania — datacenter Ashburn, Virginia, EE. UU.) — provisión de infraestructura de servidor, PostgreSQL y Redis.
- Cloudflare, Inc. (Estados Unidos) — red de distribución de contenido (CDN), Web Application Firewall (WAF), DNS autoritativo y caché de activos estáticos.
- Microsoft Corporation (Estados Unidos / Unión Europea) — servicio SMTP de Office 365 para envío de correos electrónicos transaccionales (autenticación, notificaciones).
- Postmark (Estados Unidos) — envío de correos electrónicos de marketing y campañas.
8. Retención de datos
Los periodos de retención aplicables son:
- Datos de la cuenta de empresa (cliente B2B): durante toda la vigencia del contrato y por cinco (5) años adicionales posteriores a la terminación, para cumplimiento de obligaciones comerciales y tributarias.
- Datos de clientes finales del programa de fidelidad: el cliente B2B (responsable) define el periodo de retención en su programa; Punsel actúa como encargado y ejecuta lo definido por el responsable.
- Registros operacionales (logs): treinta (30) días.
- Audit log de cumplimiento (Habeas Data): mínimo dos (2) años (Art. 17 Ley 1581).
- Copias de respaldo: 30 días (incrementales diarios) + 6 meses (semanales) + 2 años (mensuales).
9. Cambios a esta política
Los cambios sustanciales a la presente Política de Privacidad serán notificados con un preaviso mínimo de quince (15) días calendario a la dirección de correo electrónico registrada y mediante un aviso destacado en el sitio web y en el panel de administración de la plataforma.
Los cambios menores o aclaratorios serán publicados directamente en esta página, con actualización del campo "Actualizado el" del encabezado. El uso continuado del Servicio con posterioridad a la publicación de cualquier cambio constituye aceptación tácita del mismo.