Politica de tratamiento de datos personales

1. Objeto

Este documento desarrolla el manual interno de tratamiento de datos personales de Lyroo SAS y complementa la Politica de privacidad. Se rige por la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio (SIC).

2. Identificacion del responsable

• Razon social: Lyroo SAS (en proceso de constitucion).
• Domicilio: Armenia, Quindio, Colombia.
• Email: legal@lyroo.com.co.
• Sitio web: lyroo.com.co.

3. Definiciones

• Titular: persona natural cuyos datos personales son objeto de tratamiento.
• Dato personal: cualquier informacion vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Tratamiento: recoleccion, almacenamiento, uso, circulacion o supresion.
• Autorizacion: consentimiento previo, expreso e informado del Titular.
• Encargado: persona que realiza el tratamiento por cuenta del Responsable (ej. proveedores cloud).

4. Categorias de datos tratados

4.1 Datos identificativos: nombre, NIT/cedula, email, telefono, direccion.

4.2 Datos profesionales: cargo, empresa, sector economico (cuando el cliente es persona juridica representada por una persona natural).

4.3 Datos de facturacion: cuenta bancaria o medio de pago para el cobro del servicio (procesados por pasarelas certificadas).

4.4 Datos tecnicos: direccion IP, navegador, sistema operativo, logs de acceso al sitio web.

NO tratamos datos sensibles (salud, orientacion sexual, conviccion politica, etc.) ni datos de menores de edad directamente. Si el Cliente almacena este tipo de datos en su instancia self-hosted, sera el unico responsable.

5. Finalidades

1. Ejecutar el contrato de prestacion de servicios.
2. Emitir y enviar facturas electronicas del servicio.
3. Comunicar cambios contractuales, tecnicos o legales.
4. Soporte tecnico, atencion de PQRS y mantenimiento del software.
5. Atender solicitudes de contacto comercial recibidas a traves del formulario de la pagina web. Para esa finalidad, la respuesta puede darse por email, WhatsApp o telefono, segun los datos que el titular nos haya provisto. El registro del lead se conserva por un maximo de 1 año en almacenamiento Cloudflare KV con cifrado en transito y reposo; despues se elimina automaticamente.
6. Mercadeo y comunicaciones comerciales solo con autorizacion expresa adicional del titular.
7. Cumplimiento de obligaciones contables y tributarias.
8. Prevencion de fraude, abuso del servicio y cumplimiento de las presentes politicas.

6. Derechos del titular

El Titular puede en cualquier momento:

• Conocer, actualizar y rectificar sus datos.
• Solicitar prueba de la autorizacion otorgada.
• Ser informado del uso dado a sus datos.
• Revocar la autorizacion o solicitar supresion.
• Acceder gratuitamente a sus datos.
• Presentar quejas ante la SIC.

7. Procedimiento para ejercer derechos

Canal: legal@lyroo.com.co.

Contenido minimo de la solicitud: nombre completo, numero de identificacion, descripcion clara de los hechos y la peticion, direccion de notificacion, copia de los documentos que la respalden.

Tiempos de respuesta:

• Consultas: 10 dias habiles, prorrogables por 5 dias mas.
• Reclamos: 15 dias habiles, prorrogables por 8 dias mas.

8. Encargados del tratamiento

Lyroo contrata servicios de terceros que actuan como Encargados, con clausulas de confidencialidad y proteccion de datos:

• Cloudflare Inc. (EE.UU.) — CDN y hosting del sitio web.
• Mailchannels / Resend (EE.UU.) — envio de emails transaccionales.
• Wompi / Bold / Mercado Pago (Colombia) — procesamiento de pagos.
• GitHub Inc. (EE.UU.) — control de version del codigo (no contiene datos de clientes).

Las transferencias internacionales se hacen bajo las salvaguardas del articulo 26 de la Ley 1581.

9. Seguridad de la informacion

• Cifrado TLS 1.2+ en transito.
• Cifrado en reposo en bases de datos que administramos.
• Control de acceso por roles, autenticacion multifactor.
• Bitacoras de acceso y monitoreo.
• Backups cifrados con retencion definida segun la naturaleza del dato.
• Modelo self-hosted: el Cliente es responsable de la seguridad de su servidor; Lyroo no accede a su base de datos.

10. Conservacion y supresion

Los datos se conservan mientras dure la relacion contractual y por los plazos legales aplicables (10 anos para soportes contables, articulo 28 del Codigo de Comercio). Cumplido el plazo o ante solicitud valida de supresion, los datos se eliminan o anonimizan de forma irreversible.

11. Vigencia y cambios

Esta politica rige desde su publicacion en lyroo.com.co/legal/datos y permanece vigente mientras Lyroo trate datos personales. Cambios materiales se notificaran al menos con 15 dias de anticipacion.

12. Aviso de privacidad

Cuando no sea posible suministrar esta politica al titular en el momento de la captacion, Lyroo entregara un aviso de privacidad resumido conforme al articulo 14 del Decreto 1377, indicando el tratamiento, los derechos del titular y los canales para ejercerlos.

13. Contacto y autoridad de control

Lyroo SAS — legal@lyroo.com.co — Armenia, Quindio.

Autoridad de control: Superintendencia de Industria y Comercio — Direccion de Investigacion de Proteccion de Datos Personales.