1. MARCO NORMATIVO

•        Constitución Política, Art. 15.

•        Ley 1581 de 2012.

•        Decreto 1377 de 2013 / Decreto 1074 de 2015.

•        Sentencia C-748 de 2011.

•        Ley 527 de 1999.

•        Ley 1480 de 2011.

•        Circular Externa 003 de 2024 SIC.

•        Circular Única 005 de 2017 SIC.

2. IDENTIFICACIÓN DEL RESPONSABLE

Razón Social: ENTELIA TECHNOLOGIES SAS (operando bajo la marca comercial Vigilantia)

NIT: 902.071.871 - 4

Domicilio: Barranquilla

Correo: [email protected]

Web: www.vigilantia.io

Representante Legal: Jean Carlo Godoy Touriño

OPD: Jean Carlo Godoy Touriño (Representante Legal)

3. OBJETO Y ALCANCE

Aplica a todas las bases de datos tratadas por Vigilantia como Responsable y como Encargado. Cubre tres modalidades: B2C, B2B API y B2B Portal (incluido KYC biométrico).

4. DEFINICIONES

Autorización: consentimiento previo, expreso e informado del Titular.

Dato Sensible: dato que afecta la intimidad del Titular. Incluye antecedentes penales/disciplinarios y datos biométricos (reconocimiento facial, prueba de vida).

Responsable: quien decide sobre la base de datos y/o el tratamiento.

Encargado: quien realiza el tratamiento por cuenta del Responsable.

Transferencia: envío de datos a un Responsable fuera de Colombia.

Transmisión: comunicación de datos al Encargado, dentro o fuera de Colombia.

5. PRINCIPIOS RECTORES

Legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, responsabilidad proactiva y demostrada (Circular 003/2024), pertinencia y minimización, proporcionalidad, conservación.

6. ROLES DE VIGILANTIA

6.1. Como Responsable

Respecto de: datos de Usuarios B2C, Personas Verificadas en B2C, Clientes B2B (datos de cuenta), datos de KYC en B2B Portal (incluyendo biométricos almacenados en la Plataforma), visitantes web, proveedores y empleados.

6.2. Como Encargado

Respecto de consultas B2B API: Vigilantia facilita acceso a fuentes por cuenta del Cliente B2B (Responsable) sin almacenar contenido, solo logs.

7. BASES DE DATOS

Base

Titulares

Datos

Finalidad

Rol

Usuarios B2C

Personas que verifican

Nombre, correo, tel, contraseña hash

Gestión cuenta

Responsable

Verificaciones B2C

Personas verificadas OTP

Nombre, cédula, antecedentes, Reporte

Prestación Servicio B2C

Responsable

Clientes B2B

Empresas/personas

Datos empresariales, contacto, credenciales

Gestión comercial, API

Responsable

Consultas B2B Portal

Personas verificadas por Cliente B2B

Nombre, cédula, antecedentes, Reporte

Prestación Servicio B2B Portal

Responsable

KYC Biométrico

Personas verificadas vía KYC

Imagen facial, liveness, documento, domicilio

Verificación identidad KYC

Responsable

Logs B2B API

Consultas B2B API

Fecha, hora, IP, tipo (sin contenido)

Trazabilidad, facturación

Encargado

Consentimientos

Personas Verificadas B2C

Fecha, hora, IP, OTP, canal

Prueba legal

Responsable

Transacciones

Usuarios/Clientes

Referencia, monto, fecha

Facturación, tributario

Responsable

8. POLÍTICAS POR TIPO DE TITULAR

8.1. Usuarios B2C

Datos de cuenta. Conservación: vigencia + 2 años.

8.2. Personas Verificadas B2C

Datos sensibles (antecedentes). Consentimiento OTP. Conservación: 5 años.

8.3. Clientes B2B

Datos empresariales y contacto. Conservación: vigencia contractual + 2 años.

8.4. Personas Verificadas B2B Portal

Datos de antecedentes almacenados en Plataforma. Conservación: 5 años.

8.5. Personas Verificadas KYC

Datos biométricos sensibles (imagen facial, prueba de vida, documento, domicilio). Se informa al Titular sobre el carácter sensible y facultativo. Datos almacenados en Vigilantia y en el proveedor de verificación biométrica (Encargado). Conservación: 5 años.

8.6. Visitantes web

Formularios de contacto y cookies técnicas. Conservación: 1 año.

8.7. Proveedores

Datos contractuales. Conservación: vigencia + tiempo legal.

9. AUTORIZACIÓN PARA EL TRATAMIENTO

B2C: aceptación en registro + consentimiento OTP de Persona Verificada. B2B: aceptación en registro; consentimiento de Personas Verificadas es responsabilidad del Cliente B2B. KYC biométrico: requiere autorización explícita y reforzada que informe sobre carácter sensible de datos biométricos y carácter facultativo (Art. 6, Ley 1581). Prueba de autorización conservada 5 años.

10. TRATAMIENTO DE DATOS SENSIBLES

Dos categorías de datos sensibles: (1) antecedentes penales, policivos y disciplinarios; (2) datos biométricos (reconocimiento facial, prueba de vida). Ambos requieren autorización explícita y reforzada, información al Titular sobre carácter facultativo, medidas de seguridad reforzadas, acceso restringido al mínimo necesario, y prohibición de uso discriminatorio.

11. ENCARGADOS DEL TRATAMIENTO

Todos operan bajo contratos con cláusulas de: confidencialidad, limitación de finalidad, seguridad, notificación de incidentes, devolución/destrucción de datos, y derecho de auditoría. Encargados actuales:

•        Infraestructura cloud (servicios de computación en la nube).

•        Pasarela de pagos autorizada por la Superintendencia Financiera.

•        Servicios de comunicaciones (correo electrónico, mensajería WhatsApp/SMS).

•        Proveedor de verificación biométrica y documental KYC (Encargado del Tratamiento que procesa datos de reconocimiento facial, prueba de vida, validación de documento de identidad y prueba de domicilio). Los datos biométricos son almacenados tanto en la Plataforma de Vigilantia como en los sistemas de este Encargado. Vigilantia ha verificado que este proveedor cuenta con medidas de seguridad adecuadas y contratos con cláusulas de protección de datos conformes a la Ley 1581 de 2012.

12. TRANSFERENCIA INTERNACIONAL

Proveedores de infraestructura operan desde países incluidos en la lista de países seguros de la SIC (Circular Única 005 de 2017). El proveedor de verificación biométrica KYC (Didit) tiene sede en Barcelona, España, con región de procesamiento en la Unión Europea. Tanto Estados Unidos (infraestructura cloud) como la Unión Europea (KYC biométrico) están incluidos en la lista de países con nivel adecuado de protección de la SIC. Se celebran contratos con cláusulas estándar. El proveedor de KYC cuenta con certificaciones GDPR, ISO 27001, SOC 2 Type II e iBeta Level 1.

13. PROCEDIMIENTO PQRS

Canal: [email protected] y formulario Habeas Data. Requisitos: nombre, documento, contacto, descripción, soportes, poder si aplica. Consultas: 10 días hábiles (+5). Reclamos: 15 días hábiles (+8). Leyenda "reclamo en trámite" en base de datos. Requisito de procedibilidad ante la SIC.

14. OFICIAL DE PROTECCIÓN DE DATOS

Representante Legal designado. Funciones: cumplimiento legal, punto de contacto SIC/Titulares, supervisión, PQRS, seguridad, capacitación, contratos con Encargados, incidentes, evaluaciones de impacto de privacidad.

15. COMPROMISOS ALTA GERENCIA (CIRCULAR 003/2024)

a)     Evaluaciones de impacto de privacidad desde el diseño y por defecto.

b)     Sistema de gestión de riesgos en protección de datos y seguridad.

c)     Lineamientos para fortalecer medidas de seguridad física y digital.

d)     Mecanismos internos de cumplimiento: implementación, capacitación y sensibilización.

16. MEDIDAS DE SEGURIDAD

Técnicas: cifrado TLS 1.3 y en reposo, bcrypt, RBAC, MFA, monitoreo IDS/IPS, respaldos cifrados, escaneo de vulnerabilidades. Medidas reforzadas para datos sensibles y biométricos con acceso restringido y registro de auditoría detallado. Humanas: acuerdos de confidencialidad, capacitación anual. Administrativas: política de seguridad, gestión de incidentes, plan de continuidad, auditorías internas, registro de actividades.

17. FORMACIÓN

Capacitaciones anuales documentadas en protección de datos y seguridad, con énfasis en manejo de datos sensibles y biométricos.

18. VIGENCIA

Vigente desde publicación. Modificaciones con 10 días hábiles de anticipación.

19. ACEPTACIÓN

Aprobada por el Representante Legal de ENTELIA TECHNOLOGIES SAS.

________________________________________

Jean Carlo Godoy Touriño

Representante Legal — ENTELIA TECHNOLOGIES SAS