SURTIA — Sistema de Gestión para Comercios Colombianos
Vigente desde: Abril 2026 | Versión 1.9 | Actualizado: 7 de julio de 2026
Responsable (persona natural durante la beta): Maria Luisa Narvaez Cuervo
Marca comercial: SURTIA (solicitud de registro ante la SIC en trámite)
Domicilio: Villavicencio, Meta, Colombia
Correo electrónico (datos personales / Habeas Data): [email protected]
Al momento de constituirse SURTIA S.A.S., esta sección se actualizará con la razón social, NIT y representante legal, y la titularidad del tratamiento se cederá a la sociedad.
SURTIA actúa con un doble rol conforme a la Ley 1581: es Responsable del tratamiento de los datos del titular de la cuenta (sección 3.1) y es Encargado del tratamiento de los datos de terceros que el titular cargue en la plataforma (secciones 3.2 a 3.5). Las obligaciones de SURTIA como Encargado se detallan en la sección 7C de los Términos y Condiciones.
En cumplimiento de la Circular Externa 001 de 2025 de la Superintendencia de Industria y Comercio (SIC), SURTIA implementa un sistema de consentimiento diferenciado en tres niveles:
El consentimiento se registra con fecha y hora (timestamp UTC). El usuario puede revocar cualquiera de estos consentimientos en cualquier momento.
Al hacer clic en el checkbox "Acepto la Política de Privacidad" durante el registro, el titular autoriza expresa, libre, voluntaria, previa, explícita e informada al responsable a recolectar, almacenar, usar, circular y suprimir sus datos personales para las finalidades descritas en la sección 4 de esta política, conforme al artículo 9 de la Ley 1581 de 2012 y al artículo 7 del Decreto 1377 de 2013.
| Dato | Finalidad | Base legal |
|---|---|---|
| Nombre completo | Identificación y personalización de la experiencia | Consentimiento |
| Número de cédula o NIT | Facturación y cumplimiento tributario | Obligación legal |
| Número de teléfono | Autenticación OTP, soporte y notificaciones | Consentimiento |
| Correo electrónico | Recuperación de cuenta y comunicaciones | Consentimiento |
| Dirección del negocio | Configuración fiscal del comercio | Consentimiento |
| Dato | Finalidad | Base legal |
|---|---|---|
| Nombre, cédula, teléfono, email, dirección | Gestión de cartera, facturación, contacto | Autorización del titular obtenida por el comerciante (Art. 9 Ley 1581 de 2012) |
| Historial de compras y deudas | Control de fiados y cartera del negocio | Autorización del titular obtenida por el comerciante (Art. 9 Ley 1581 de 2012) |
Cuando el comerciante usa el módulo de nómina, SURTIA almacena: nombre, cédula, cargo, salario, EPS, AFP, ARL, fondo de cesantías y número de cuenta bancaria. La base legal es la obligación legal del comerciante como empleador (CST, Ley 100/1993, Decreto 1072/2015). El comerciante actúa como Responsable del tratamiento; SURTIA actúa como Encargado.
SURTIA almacena los datos de ventas, gastos, inventario, compras, nómina y demás operaciones del negocio. Estos datos son propiedad exclusiva del comerciante y se procesan únicamente para prestar el servicio contratado.
Cuando el comerciante registra una venta a crédito, la plataforma permite capturar la firma manuscrita del cliente como evidencia de la obligación crediticia. Esta firma constituye un dato biométrico (dato sensible) conforme al artículo 6 de la Ley 1581 de 2012. La base legal es la autorización explícita del titular obtenida por el comerciante en el momento de la firma. La conservación se extiende mientras exista la obligación crediticia más cinco (5) años conforme al Estatuto Tributario. El acceso está restringido exclusivamente al comerciante propietario de la cuenta mediante Row Level Security (RLS).
Cuando el comerciante opera en el vertical Agenda (barbería, spa, estética, veterinaria, taller, consultorio), SURTIA registra la vinculación entre cada servicio cobrado y el trabajador que lo ejecutó. Los datos almacenados son: identificador del trabajador, monto atribuido, fecha y hora del servicio, estado de la atribución (pendiente, confirmada, disputada o ajustada), motivo de disputa (cuando aplica) y motivo del ajuste si el administrador reasigna la atribución.
La finalidad es permitirle al trabajador conocer en tiempo real los servicios que se le atribuyeron, confirmar o disputar atribuciones erróneas, y darle al administrador trazabilidad probatoria para la liquidación de comisiones y la resolución de controversias laborales. La base legal es la autorización previa, expresa e informada del trabajador, capturada mediante un consentimiento adicional al ingresar por primera vez a la pantalla "Mi Día" (Decreto 1377/2013 Art. 7). Sin esa autorización, la pantalla queda bloqueada.
Política de retención dual: el motivo libre de disputa se elimina automáticamente a los tres (3) años de registrado, alineado con la prescripción de acciones laborales (CST Art. 488). El vínculo del trabajador con la atribución se anonimiza a los diez (10) años, preservando un "snapshot" del nombre del empleado para fines contables sin mantener la vinculación con datos personales (Art. 632 E.T. — custodia probatoria contable).
Ejercicio ARCO permanente: el trabajador puede solicitar el historial completo de sus atribuciones en cualquier momento, incluso después de finalizado el vínculo laboral, escribiendo a [email protected] o desde la opción "Mis datos personales" dentro de la aplicación (Art. 8 Ley 1581 de 2012).
Cuando SURTIA opera en una copropiedad regida por la Ley 675 de 2001, la asamblea o administración del conjunto actúa como Responsable del tratamiento y SURTIA como Encargado (cláusula 7D de los Términos y Condiciones), conforme al Art. 3 lit. d) y e) de la Ley 1581 de 2012.
Los datos que SURTIA almacena por cuenta de la copropiedad se agrupan así:
Los titulares ejercen sus derechos ARCO (acceso, rectificación, actualización, supresión, revocatoria y consulta — Art. 8 Ley 1581/2012) ante la administración del conjunto como Responsable; SURTIA atenderá la solicitud como Encargado a instrucción de ésta. Retención mínima: 5 años (Art. 632 E.T.) para soportes contables y el plazo del Decreto 768/2025 para actas y libros.
SURTIA utiliza análisis estadístico sobre los datos transaccionales del negocio (ventas, inventario, compras, cartera) para generar sugerencias y alertas dirigidas al comerciante, tales como:
Este procesamiento se ejecuta de forma diferida (procesos nocturnos), nunca durante la operación de venta en tiempo real. Las sugerencias generadas no constituyen decisiones automatizadas vinculantes: son recomendaciones informativas que el comerciante revisa y decide aplicar o descartar a su entera discreción. SURTIA no toma decisiones en nombre del usuario, ni emite calificaciones crediticias sobre los clientes del comerciante, ni produce efectos jurídicos automáticos sobre ningún titular de datos.
Los datos personales de clientes del comerciante utilizados para alimentar estos análisis se procesan en forma agregada bajo la autorización del titular obtenida por el comerciante (Art. 9 Ley 1581 de 2012, sección 3.2). El titular puede solicitar al comerciante la exclusión de sus datos ejerciendo su derecho de oposición conforme al artículo 8 literal c) de la Ley 1581 de 2012. SURTIA se compromete a actualizar esta sección si la SIC emite directrices específicas sobre transparencia algorítmica.
Para prestar el servicio, SURTIA utiliza proveedores de infraestructura especializados. En todos los casos, estos proveedores actúan como Encargados del tratamiento bajo instrucciones de SURTIA y no pueden usar los datos para fines propios:
| Categoría de proveedor | Finalidad | Datos compartidos | País |
|---|---|---|---|
| Proveedor de base de datos en la nube | Almacenamiento y gestión de los datos del negocio | Datos del negocio cifrados en reposo | EE.UU. |
| Proveedor de mensajería instantánea | Notificaciones WhatsApp cuando el usuario lo autoriza | Número de teléfono y texto del mensaje | EE.UU. |
| Proveedor de hosting del servidor API | Procesamiento de solicitudes de la aplicación | Datos en tránsito cifrados en canal seguro | EE.UU. |
| Proveedor de monitoreo de errores técnicos | Detección de fallos en producción para mejorar el servicio (como respaldo complementario al sistema de registro propio de SURTIA) | Registros técnicos de fallos del aplicativo con eliminación automática de datos personales (sin email, cédula, teléfono, contraseñas ni números de tarjeta). Identificadores técnicos del dispositivo y la versión de la aplicación. | EE.UU. |
| Registro propio de errores del aplicativo | Diagnóstico y resolución de fallos sin depender exclusivamente de un proveedor externo | Registros técnicos de fallos sanitizados, identificadores del comercio y del usuario, una huella matemática irreversible de la dirección IP y del dispositivo (el valor original no puede recuperarse — minimización de datos, Art. 4 lit. c Ley 1581). | EE.UU. |
| Proveedor de hosting del sitio web | Publicación de surtia.co | Logs de acceso con IP anonimizada | EE.UU. |
| Proveedor de correo transaccional | Envío de emails (activación de cuenta, recuperación de contraseña) | Correo electrónico y nombre del destinatario | Francia (UE) |
| Proveedor de red de distribución de contenido (CDN) | Aceleración de carga, DNS y protección contra ataques | IP anonimizada, logs de acceso | EE.UU. |
| Proveedor de inteligencia artificial conversacional (Groq API — Groq, Inc.) — proveedor primario | Generación de respuestas en el módulo de Soporte IA (asistente de ayuda dentro de la aplicación). El módulo muestra un aviso que instruye al operador a no incluir cédulas ni datos personales de terceros en su consulta, y aplica sanitización automática antes de enviar el texto a Groq. | Texto libre escrito por el operador en el chat de soporte (únicamente lo que el operador teclea manualmente; no incluye datos del negocio, bases de clientes ni inventario). Groq no usa las consultas para entrenar sus modelos — ver sección 6.1.a. | EE.UU. (Groq, Inc.) |
| Proveedor de inteligencia artificial conversacional (Gemini API — Google LLC) — proveedor de respaldo (fallback) | Generación de respuestas en el módulo de Soporte IA únicamente cuando el proveedor primario (Groq) no está disponible. El módulo muestra un aviso que instruye al operador a no incluir cédulas ni datos personales de terceros en su consulta, y aplica sanitización automática antes de enviar el texto a Google. | Texto libre escrito por el operador en el chat de soporte (únicamente lo que el operador teclea manualmente; no incluye datos del negocio, bases de clientes ni inventario). En la modalidad gratuita, Google puede usar las consultas para mejorar sus modelos de lenguaje — ver sección 6.1.b. | EE.UU. (Google LLC) |
SURTIA permite al responsable del tratamiento (titular del negocio registrado) invitar y autorizar expresamente el acceso de contadores públicos o tecnólogos contables debidamente inscritos ante la Junta Central de Contadores (Ley 43 de 1990, arts. 1, 13 y 14), así como de revisores fiscales cuando el responsable esté obligado a designarlos. Estas personas actúan como Encargados del Tratamiento (Ley 1581 de 2012, art. 3 lit. d; Decreto 1377 de 2013, arts. 24 y 25).
Los datos se almacenan en servidores ubicados en Estados Unidos (región us-east-1) para la base de datos principal, y parcialmente en la Unión Europea (Francia) para el servidor de la API, según la categoría del proveedor. Estas transferencias se realizan conforme al artículo 26 de la Ley 1581 de 2012, garantizando niveles adecuados de protección mediante contratos con los proveedores que obligan a tratar los datos bajo estándares equivalentes a los exigidos por la normativa colombiana. Al aceptar esta política, el titular autoriza expresamente la transferencia de sus datos a dichas jurisdicciones con las salvaguardas indicadas.
groq_gemini_transfer_v2).Mitigaciones técnicas comunes implementadas por SURTIA (aplican sin importar cuál de los dos proveedores atendió la consulta):
Limitación del derecho de supresión (ARCO — Art. 8 Ley 1581): Una vez que el texto de una consulta ha sido transferido a Groq, Inc. o a Google LLC, SURTIA no puede ejecutar la supresión de esos datos directamente en los sistemas del proveedor que la atendió. Si el titular desea solicitar la eliminación de datos ante Google, puede hacerlo directamente a través del formulario de soporte de Google disponible en support.google.com/gemini. Para solicitudes ante Groq, o si el titular prefiere gestionar cualquiera de los dos casos a través de SURTIA, puede escribir a [email protected]; SURTIA gestionará la solicitud ante el proveedor correspondiente en los plazos de la Ley 1581 (15 días hábiles).
Prohibición para datos de menores (Art. 7 Ley 1581, Sentencia C-748/2011): Queda expresamente prohibido el uso del asistente de soporte IA para consultas que involucren datos personales de menores de 18 años. El módulo de Soporte IA está diseñado para consultas operativas del negocio, no para el procesamiento de datos sensibles.
Minimización de datos — responsabilidad del operador: Si el operador incluye datos personales de terceros en el chat (clientes, empleados, copropietarios) pese al aviso en pantalla, actúa como Responsable del tratamiento de esos datos (sección 7B T&C) y asume la responsabilidad frente a los titulares. La sanitización automática de SURTIA reduce pero no elimina completamente este riesgo.
Como titular de datos personales, usted tiene derecho a: Acceso a sus datos, Rectificación de datos inexactos o incompletos, Cancelación (supresión) de datos, Oposición al tratamiento, Portabilidad y Revocatoria del consentimiento.
Para ejercer cualquiera de estos derechos cuenta con dos canales equivalentes:
Plazos de respuesta conforme al Decreto 1377 de 2013:
Si considera que su solicitud no fue atendida conforme a la ley, puede presentar queja ante la Superintendencia de Industria y Comercio (SIC) en www.sic.gov.co o al correo [email protected].
SURTIA está diseñado para uso comercial por personas mayores de 18 años. No recopilamos intencionalmente datos de menores de edad.
En caso de brecha, SURTIA notificará a la SIC y a los titulares afectados en un plazo máximo de 15 días hábiles desde la detección, conforme al artículo 17 literal f) de la Ley 1581 de 2012.
La aplicación móvil SURTIA no utiliza cookies. Usamos almacenamiento local seguro (FlutterSecureStorage) para mantener la sesión. El sitio web surtia.co puede usar cookies analíticas opcionales. Ver nuestra Política de Cookies.
Cualquier cambio significativo será notificado dentro de la aplicación con al menos 15 días de anticipación.
Puede presentar quejas ante la Superintendencia de Industria y Comercio (SIC): www.sic.gov.co — Línea gratuita: 018000-910165
De conformidad con el Decreto 886 de 2014, el Decreto 090 de 2018 y la Circular Externa 002 de 2015 de la SIC, la obligación de inscribir bases de datos personales en el Registro Nacional de Bases de Datos (RNBD) recae sobre personas jurídicas con activos totales superiores a 100.000 UVT y sobre personas naturales cuyo objeto comercial sea el tratamiento profesional de datos.
Durante la fase de beta privada, el responsable opera como persona natural y no se encuentra dentro de los supuestos de inscripción obligatoria. Al momento de constituirse SURTIA S.A.S. y de superar los umbrales legales, se procederá a inscribir las bases de datos correspondientes (titulares de cuenta, clientes del comerciante y empleados del comerciante) dentro de los dos (2) meses siguientes, conforme al numeral III de la Circular 002 de 2015. La constancia de inscripción se publicará en esta misma sección.
© 2026 SURTIA · Beta privada · Responsable: Maria Luisa Narvaez Cuervo (persona natural) · Villavicencio, Colombia