Política de Privacidad

SURTIA — Sistema de Gestión para Comercios Colombianos

Vigente desde: Abril 2026 | Versión 1.9 | Actualizado: 7 de julio de 2026

Estado actual (abril 2026): SURTIA se encuentra en fase de beta privada. La marca está en proceso de registro ante la SIC y la sociedad SURTIA S.A.S. se constituirá previo al lanzamiento comercial. Durante la beta, el responsable del tratamiento es Maria Luisa Narvaez Cuervo (persona natural). Esta política se actualizará cuando se constituya la sociedad.
Resumen en lenguaje simple: SURTIA recopila los datos necesarios para que tu negocio funcione (productos, ventas, clientes, gastos). Tus datos son tuyos, no los vendemos ni los compartimos con nadie excepto para enviarte notificaciones por WhatsApp si tú lo autorizas. Puedes pedir que borremos todo en cualquier momento.

1. Responsable del tratamiento de datos

Responsable (persona natural durante la beta): Maria Luisa Narvaez Cuervo

Marca comercial: SURTIA (solicitud de registro ante la SIC en trámite)

Domicilio: Villavicencio, Meta, Colombia

Correo electrónico (datos personales / Habeas Data): [email protected]

Al momento de constituirse SURTIA S.A.S., esta sección se actualizará con la razón social, NIT y representante legal, y la titularidad del tratamiento se cederá a la sociedad.

SURTIA actúa con un doble rol conforme a la Ley 1581: es Responsable del tratamiento de los datos del titular de la cuenta (sección 3.1) y es Encargado del tratamiento de los datos de terceros que el titular cargue en la plataforma (secciones 3.2 a 3.5). Las obligaciones de SURTIA como Encargado se detallan en la sección 7C de los Términos y Condiciones.

1A. Consentimiento diferenciado (Circular SIC 001/2025)

En cumplimiento de la Circular Externa 001 de 2025 de la Superintendencia de Industria y Comercio (SIC), SURTIA implementa un sistema de consentimiento diferenciado en tres niveles:

El consentimiento se registra con fecha y hora (timestamp UTC). El usuario puede revocar cualquiera de estos consentimientos en cualquier momento.

Al hacer clic en el checkbox "Acepto la Política de Privacidad" durante el registro, el titular autoriza expresa, libre, voluntaria, previa, explícita e informada al responsable a recolectar, almacenar, usar, circular y suprimir sus datos personales para las finalidades descritas en la sección 4 de esta política, conforme al artículo 9 de la Ley 1581 de 2012 y al artículo 7 del Decreto 1377 de 2013.

2. Marco legal

3. Datos personales que recopilamos

3.1 Datos del titular de la cuenta (el comerciante)

DatoFinalidadBase legal
Nombre completoIdentificación y personalización de la experienciaConsentimiento
Número de cédula o NITFacturación y cumplimiento tributarioObligación legal
Número de teléfonoAutenticación OTP, soporte y notificacionesConsentimiento
Correo electrónicoRecuperación de cuenta y comunicacionesConsentimiento
Dirección del negocioConfiguración fiscal del comercioConsentimiento

3.2 Datos de los clientes del comerciante

DatoFinalidadBase legal
Nombre, cédula, teléfono, email, direcciónGestión de cartera, facturación, contactoAutorización del titular obtenida por el comerciante (Art. 9 Ley 1581 de 2012)
Historial de compras y deudasControl de fiados y cartera del negocioAutorización del titular obtenida por el comerciante (Art. 9 Ley 1581 de 2012)

3.3 Datos de empleados del comerciante

Cuando el comerciante usa el módulo de nómina, SURTIA almacena: nombre, cédula, cargo, salario, EPS, AFP, ARL, fondo de cesantías y número de cuenta bancaria. La base legal es la obligación legal del comerciante como empleador (CST, Ley 100/1993, Decreto 1072/2015). El comerciante actúa como Responsable del tratamiento; SURTIA actúa como Encargado.

3.4 Datos transaccionales del negocio

SURTIA almacena los datos de ventas, gastos, inventario, compras, nómina y demás operaciones del negocio. Estos datos son propiedad exclusiva del comerciante y se procesan únicamente para prestar el servicio contratado.

3.5 Datos sensibles — firma manuscrita digital

Cuando el comerciante registra una venta a crédito, la plataforma permite capturar la firma manuscrita del cliente como evidencia de la obligación crediticia. Esta firma constituye un dato biométrico (dato sensible) conforme al artículo 6 de la Ley 1581 de 2012. La base legal es la autorización explícita del titular obtenida por el comerciante en el momento de la firma. La conservación se extiende mientras exista la obligación crediticia más cinco (5) años conforme al Estatuto Tributario. El acceso está restringido exclusivamente al comerciante propietario de la cuenta mediante Row Level Security (RLS).

3.6 Atribución de servicios al trabajador (vertical Agenda)

Cuando el comerciante opera en el vertical Agenda (barbería, spa, estética, veterinaria, taller, consultorio), SURTIA registra la vinculación entre cada servicio cobrado y el trabajador que lo ejecutó. Los datos almacenados son: identificador del trabajador, monto atribuido, fecha y hora del servicio, estado de la atribución (pendiente, confirmada, disputada o ajustada), motivo de disputa (cuando aplica) y motivo del ajuste si el administrador reasigna la atribución.

La finalidad es permitirle al trabajador conocer en tiempo real los servicios que se le atribuyeron, confirmar o disputar atribuciones erróneas, y darle al administrador trazabilidad probatoria para la liquidación de comisiones y la resolución de controversias laborales. La base legal es la autorización previa, expresa e informada del trabajador, capturada mediante un consentimiento adicional al ingresar por primera vez a la pantalla "Mi Día" (Decreto 1377/2013 Art. 7). Sin esa autorización, la pantalla queda bloqueada.

Política de retención dual: el motivo libre de disputa se elimina automáticamente a los tres (3) años de registrado, alineado con la prescripción de acciones laborales (CST Art. 488). El vínculo del trabajador con la atribución se anonimiza a los diez (10) años, preservando un "snapshot" del nombre del empleado para fines contables sin mantener la vinculación con datos personales (Art. 632 E.T. — custodia probatoria contable).

Ejercicio ARCO permanente: el trabajador puede solicitar el historial completo de sus atribuciones en cualquier momento, incluso después de finalizado el vínculo laboral, escribiendo a [email protected] o desde la opción "Mis datos personales" dentro de la aplicación (Art. 8 Ley 1581 de 2012).

3.7 Datos de propietarios, residentes y visitantes (vertical Propiedad Horizontal)

Cuando SURTIA opera en una copropiedad regida por la Ley 675 de 2001, la asamblea o administración del conjunto actúa como Responsable del tratamiento y SURTIA como Encargado (cláusula 7D de los Términos y Condiciones), conforme al Art. 3 lit. d) y e) de la Ley 1581 de 2012.

Los datos que SURTIA almacena por cuenta de la copropiedad se agrupan así:

Los titulares ejercen sus derechos ARCO (acceso, rectificación, actualización, supresión, revocatoria y consulta — Art. 8 Ley 1581/2012) ante la administración del conjunto como Responsable; SURTIA atenderá la solicitud como Encargado a instrucción de ésta. Retención mínima: 5 años (Art. 632 E.T.) para soportes contables y el plazo del Decreto 768/2025 para actas y libros.

4. Finalidades del tratamiento

4A. Tratamiento automatizado y sugerencias generadas por inteligencia artificial

SURTIA utiliza análisis estadístico sobre los datos transaccionales del negocio (ventas, inventario, compras, cartera) para generar sugerencias y alertas dirigidas al comerciante, tales como:

Este procesamiento se ejecuta de forma diferida (procesos nocturnos), nunca durante la operación de venta en tiempo real. Las sugerencias generadas no constituyen decisiones automatizadas vinculantes: son recomendaciones informativas que el comerciante revisa y decide aplicar o descartar a su entera discreción. SURTIA no toma decisiones en nombre del usuario, ni emite calificaciones crediticias sobre los clientes del comerciante, ni produce efectos jurídicos automáticos sobre ningún titular de datos.

Los datos personales de clientes del comerciante utilizados para alimentar estos análisis se procesan en forma agregada bajo la autorización del titular obtenida por el comerciante (Art. 9 Ley 1581 de 2012, sección 3.2). El titular puede solicitar al comerciante la exclusión de sus datos ejerciendo su derecho de oposición conforme al artículo 8 literal c) de la Ley 1581 de 2012. SURTIA se compromete a actualizar esta sección si la SIC emite directrices específicas sobre transparencia algorítmica.

5. Compartición de datos con terceros

SURTIA no vende, alquila ni comercializa los datos personales de sus usuarios bajo ninguna circunstancia.

Para prestar el servicio, SURTIA utiliza proveedores de infraestructura especializados. En todos los casos, estos proveedores actúan como Encargados del tratamiento bajo instrucciones de SURTIA y no pueden usar los datos para fines propios:

Categoría de proveedorFinalidadDatos compartidosPaís
Proveedor de base de datos en la nubeAlmacenamiento y gestión de los datos del negocioDatos del negocio cifrados en reposoEE.UU.
Proveedor de mensajería instantáneaNotificaciones WhatsApp cuando el usuario lo autorizaNúmero de teléfono y texto del mensajeEE.UU.
Proveedor de hosting del servidor APIProcesamiento de solicitudes de la aplicaciónDatos en tránsito cifrados en canal seguroEE.UU.
Proveedor de monitoreo de errores técnicosDetección de fallos en producción para mejorar el servicio (como respaldo complementario al sistema de registro propio de SURTIA)Registros técnicos de fallos del aplicativo con eliminación automática de datos personales (sin email, cédula, teléfono, contraseñas ni números de tarjeta). Identificadores técnicos del dispositivo y la versión de la aplicación.EE.UU.
Registro propio de errores del aplicativoDiagnóstico y resolución de fallos sin depender exclusivamente de un proveedor externoRegistros técnicos de fallos sanitizados, identificadores del comercio y del usuario, una huella matemática irreversible de la dirección IP y del dispositivo (el valor original no puede recuperarse — minimización de datos, Art. 4 lit. c Ley 1581).EE.UU.
Proveedor de hosting del sitio webPublicación de surtia.coLogs de acceso con IP anonimizadaEE.UU.
Proveedor de correo transaccionalEnvío de emails (activación de cuenta, recuperación de contraseña)Correo electrónico y nombre del destinatarioFrancia (UE)
Proveedor de red de distribución de contenido (CDN)Aceleración de carga, DNS y protección contra ataquesIP anonimizada, logs de accesoEE.UU.
Proveedor de inteligencia artificial conversacional (Groq API — Groq, Inc.) — proveedor primarioGeneración de respuestas en el módulo de Soporte IA (asistente de ayuda dentro de la aplicación). El módulo muestra un aviso que instruye al operador a no incluir cédulas ni datos personales de terceros en su consulta, y aplica sanitización automática antes de enviar el texto a Groq.Texto libre escrito por el operador en el chat de soporte (únicamente lo que el operador teclea manualmente; no incluye datos del negocio, bases de clientes ni inventario). Groq no usa las consultas para entrenar sus modelos — ver sección 6.1.a.EE.UU. (Groq, Inc.)
Proveedor de inteligencia artificial conversacional (Gemini API — Google LLC) — proveedor de respaldo (fallback)Generación de respuestas en el módulo de Soporte IA únicamente cuando el proveedor primario (Groq) no está disponible. El módulo muestra un aviso que instruye al operador a no incluir cédulas ni datos personales de terceros en su consulta, y aplica sanitización automática antes de enviar el texto a Google.Texto libre escrito por el operador en el chat de soporte (únicamente lo que el operador teclea manualmente; no incluye datos del negocio, bases de clientes ni inventario). En la modalidad gratuita, Google puede usar las consultas para mejorar sus modelos de lenguaje — ver sección 6.1.b.EE.UU. (Google LLC)

5.2 Contadores y revisores fiscales aliados

SURTIA permite al responsable del tratamiento (titular del negocio registrado) invitar y autorizar expresamente el acceso de contadores públicos o tecnólogos contables debidamente inscritos ante la Junta Central de Contadores (Ley 43 de 1990, arts. 1, 13 y 14), así como de revisores fiscales cuando el responsable esté obligado a designarlos. Estas personas actúan como Encargados del Tratamiento (Ley 1581 de 2012, art. 3 lit. d; Decreto 1377 de 2013, arts. 24 y 25).

6. Transferencia internacional de datos

Los datos se almacenan en servidores ubicados en Estados Unidos (región us-east-1) para la base de datos principal, y parcialmente en la Unión Europea (Francia) para el servidor de la API, según la categoría del proveedor. Estas transferencias se realizan conforme al artículo 26 de la Ley 1581 de 2012, garantizando niveles adecuados de protección mediante contratos con los proveedores que obligan a tratar los datos bajo estándares equivalentes a los exigidos por la normativa colombiana. Al aceptar esta política, el titular autoriza expresamente la transferencia de sus datos a dichas jurisdicciones con las salvaguardas indicadas.

6.1 Proveedores de inteligencia artificial conversacional (Groq y Gemini)

Aviso de transferencia con riesgo de entrenamiento de modelo (Art. 4 y 26 Ley 1581/2012): El módulo de Soporte IA de SURTIA envía la consulta del operador a proveedores externos con domicilio en EE.UU.: Groq, Inc. (proveedor primario, atiende la gran mayoría del tráfico) y, únicamente si Groq no está disponible, Google LLC — API de Gemini (proveedor de respaldo/fallback, 1600 Amphitheatre Parkway, Mountain View, CA). EE.UU. no está en la lista de países con nivel de protección adecuado según la Circular Externa 005/2017 de la SIC, por lo que la transferencia se basa en la autorización expresa e inequívoca del titular (Art. 26 literal b, Ley 1581 de 2012). Al usar el asistente de soporte por primera vez, el operador debe aceptar un aviso específico que nombra a ambos proveedores (flujo habilitado con versión groq_gemini_transfer_v2).

Mitigaciones técnicas comunes implementadas por SURTIA (aplican sin importar cuál de los dos proveedores atendió la consulta):

6.1.a Groq API (Groq, Inc.) — proveedor primario

6.1.b Gemini API (Google LLC) — proveedor de respaldo (fallback)

Limitación del derecho de supresión (ARCO — Art. 8 Ley 1581): Una vez que el texto de una consulta ha sido transferido a Groq, Inc. o a Google LLC, SURTIA no puede ejecutar la supresión de esos datos directamente en los sistemas del proveedor que la atendió. Si el titular desea solicitar la eliminación de datos ante Google, puede hacerlo directamente a través del formulario de soporte de Google disponible en support.google.com/gemini. Para solicitudes ante Groq, o si el titular prefiere gestionar cualquiera de los dos casos a través de SURTIA, puede escribir a [email protected]; SURTIA gestionará la solicitud ante el proveedor correspondiente en los plazos de la Ley 1581 (15 días hábiles).

Prohibición para datos de menores (Art. 7 Ley 1581, Sentencia C-748/2011): Queda expresamente prohibido el uso del asistente de soporte IA para consultas que involucren datos personales de menores de 18 años. El módulo de Soporte IA está diseñado para consultas operativas del negocio, no para el procesamiento de datos sensibles.

Minimización de datos — responsabilidad del operador: Si el operador incluye datos personales de terceros en el chat (clientes, empleados, copropietarios) pese al aviso en pantalla, actúa como Responsable del tratamiento de esos datos (sección 7B T&C) y asume la responsabilidad frente a los titulares. La sanitización automática de SURTIA reduce pero no elimina completamente este riesgo.

7. Medidas de seguridad

8. Derechos del titular (ARCO)

Como titular de datos personales, usted tiene derecho a: Acceso a sus datos, Rectificación de datos inexactos o incompletos, Cancelación (supresión) de datos, Oposición al tratamiento, Portabilidad y Revocatoria del consentimiento.

Para ejercer cualquiera de estos derechos cuenta con dos canales equivalentes:

Plazos de respuesta conforme al Decreto 1377 de 2013:

Si considera que su solicitud no fue atendida conforme a la ley, puede presentar queja ante la Superintendencia de Industria y Comercio (SIC) en www.sic.gov.co o al correo [email protected].

9. Conservación de datos

10. Menores de edad

SURTIA está diseñado para uso comercial por personas mayores de 18 años. No recopilamos intencionalmente datos de menores de edad.

10A. Notificación de brechas de seguridad

En caso de brecha, SURTIA notificará a la SIC y a los titulares afectados en un plazo máximo de 15 días hábiles desde la detección, conforme al artículo 17 literal f) de la Ley 1581 de 2012.

11. Cookies y tecnologías de seguimiento

La aplicación móvil SURTIA no utiliza cookies. Usamos almacenamiento local seguro (FlutterSecureStorage) para mantener la sesión. El sitio web surtia.co puede usar cookies analíticas opcionales. Ver nuestra Política de Cookies.

12. Cambios en esta política

Cualquier cambio significativo será notificado dentro de la aplicación con al menos 15 días de anticipación.

13. Autoridad de protección de datos

Puede presentar quejas ante la Superintendencia de Industria y Comercio (SIC): www.sic.gov.co — Línea gratuita: 018000-910165

13A. Registro Nacional de Bases de Datos (RNBD)

De conformidad con el Decreto 886 de 2014, el Decreto 090 de 2018 y la Circular Externa 002 de 2015 de la SIC, la obligación de inscribir bases de datos personales en el Registro Nacional de Bases de Datos (RNBD) recae sobre personas jurídicas con activos totales superiores a 100.000 UVT y sobre personas naturales cuyo objeto comercial sea el tratamiento profesional de datos.

Durante la fase de beta privada, el responsable opera como persona natural y no se encuentra dentro de los supuestos de inscripción obligatoria. Al momento de constituirse SURTIA S.A.S. y de superar los umbrales legales, se procederá a inscribir las bases de datos correspondientes (titulares de cuenta, clientes del comerciante y empleados del comerciante) dentro de los dos (2) meses siguientes, conforme al numeral III de la Circular 002 de 2015. La constancia de inscripción se publicará en esta misma sección.

14. Contacto

© 2026 SURTIA · Beta privada · Responsable: Maria Luisa Narvaez Cuervo (persona natural) · Villavicencio, Colombia

Términos y Condiciones | Política de Cookies