Política de Tratamiento de Datos Personales
Última actualización: 9 de marzo de 2026
Elaborada conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes de la República de Colombia.
⚠️ Nota importante: Comerciaya es operado actualmente por Jerson Camilo Moncada Romero, persona natural domiciliada en Bogotá D.C., Colombia. Esta política será actualizada cuando la operación sea asumida por una persona jurídica debidamente constituida. La presente política es plenamente válida y vinculante en su forma actual.
1. Identificación del responsable del tratamiento
| Campo | Detalle |
|---|---|
| Responsable | Jerson Camilo Moncada Romero |
| Condición | Persona natural |
| Domicilio | Bogotá D.C., Colombia |
| Correo electrónico | agenciachispacol@gmail.com |
| Teléfono / WhatsApp | +57 320 946 7044 |
| Sitio web | https://comerciaya.com |
| Canal de atención PQRS | agenciachispacol@gmail.com (asunto: "PQRS Datos Personales") |
2. Marco legal
Esta política se fundamenta en:
- Constitución Política de Colombia, artículo 15 (derecho a la intimidad y habeas data).
- Ley Estatutaria 1581 de 2012 — Régimen General de Protección de Datos Personales.
- Decreto 1377 de 2013 — Reglamentario parcial de la Ley 1581 de 2012.
- Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio, Industria y Turismo (Título 2, Capítulo 25 y 26).
- Circular Externa 002 de 2015 de la SIC.
- Ley 1480 de 2011 — Estatuto del Consumidor.
- Ley 527 de 1999 — Comercio electrónico.
3. Definiciones
- Dato personal: Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
- Titular: Persona natural cuyos datos personales son objeto de tratamiento.
- Responsable del tratamiento: Persona que decide sobre la base de datos y/o el tratamiento de los datos.
- Encargado del tratamiento: Persona que realiza el tratamiento de datos por cuenta del responsable.
- Tratamiento: Cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión).
- Autorización: Consentimiento previo, expreso e informado del titular para el tratamiento de sus datos.
- Dato sensible: Datos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación.
4. Principios rectores
El tratamiento de datos se rige por los siguientes principios (art. 4, Ley 1581/2012):
- Legalidad: El tratamiento se sujeta a la ley colombiana vigente.
- Finalidad: El tratamiento obedece a una finalidad legítima, informada al titular.
- Libertad: El tratamiento solo se ejerce con el consentimiento previo, expreso e informado del titular.
- Veracidad: La información sujeta a tratamiento debe ser veraz, completa, exacta y actualizada.
- Transparencia: Se garantiza al titular el derecho a obtener información sobre sus datos en cualquier momento.
- Acceso y circulación restringida: Los datos solo se tratan por personas autorizadas.
- Seguridad: Los datos se protegen con medidas técnicas, humanas y administrativas.
- Confidencialidad: Todas las personas que intervienen en el tratamiento están obligadas a garantizar la reserva de la información.
5. Datos recopilados y finalidades
5.1 Comerciantes (usuarios registrados de la Plataforma)
| Dato | Tipo | Finalidad | Base legal |
|---|---|---|---|
| Correo electrónico | Personal | Autenticación, comunicaciones de servicio y comerciales | Consentimiento + ejecución contractual |
| Contraseña (hash bcrypt) | Privado | Seguridad de la cuenta | Ejecución contractual |
| Nombre del negocio | Personal | Configuración y personalización del catálogo | Ejecución contractual |
| Número de WhatsApp | Personal | Canal de recepción de pedidos | Consentimiento |
| Logo e imágenes del negocio | Público (comercial) | Personalización visual del catálogo | Consentimiento |
| Configuración del catálogo | Semiprivado | Operación del servicio | Ejecución contractual |
| Datos de pago (procesados por Wompi) | Financiero | Cobro de suscripción | Ejecución contractual |
No recopilamos datos sensibles (origen racial, orientación política, datos de salud, biométricos, etc.).
5.2 Compradores finales (clientes de los Comerciantes)
| Dato | Tipo | Finalidad | Responsable |
|---|---|---|---|
| Nombre completo | Personal | Identificación en el pedido | El Comerciante |
| Teléfono | Personal | Contacto de entrega | El Comerciante |
| Dirección | Personal | Logística de envío | El Comerciante |
| Productos comprados y monto | Semiprivado | Registro del pedido | El Comerciante |
Importante: Los datos de compradores finales son responsabilidad del Comerciante que opera la tienda. Comerciaya actúa como Encargado del tratamiento y solo almacena estos datos para que el Comerciante gestione sus pedidos. Comerciaya NO utiliza, vende, transfiere ni explota estos datos para ningún otro fin.
6. Autorización y forma de obtención
La autorización para el tratamiento de datos personales se obtiene de las siguientes formas:
- Registro en la Plataforma: Al registrarse, el usuario acepta expresamente esta política mediante checkbox obligatorio.
- Uso continuado: El uso de la Plataforma después de la publicación de actualizaciones a esta política implica aceptación tácita.
- Compradores finales: El Comerciante es responsable de obtener la autorización de tratamiento de datos de sus compradores, conforme a la Ley 1581 de 2012.
La autorización puede ser revocada en cualquier momento siguiendo el procedimiento descrito en la sección 8.
7. Encargados del tratamiento y transferencias
Comerciaya utiliza proveedores de servicios que actúan como encargados del tratamiento:
| Encargado | Servicio | Datos que procesa | País | Garantías |
|---|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento | Todos los datos de la cuenta y productos | EE.UU. | SOC 2 Type II, cifrado en reposo y tránsito |
| Vercel Inc. | Hosting, CDN, edge functions | Logs de acceso (IP, user agent) | EE.UU. | SOC 2, GDPR compliant |
| Wompi (Bancolombia S.A.) | Procesamiento de pagos de suscripciones | Datos de la transacción | Colombia | PCI DSS, regulado por SFC |
| Google LLC (Gemini AI) | Asistente IA opcional | Conversaciones del chat (si el Comerciante lo habilita) | EE.UU. | SOC 2, ISO 27001 |
7.1 Transferencias internacionales
Al utilizar proveedores con servidores en Estados Unidos (Supabase, Vercel, Google), los datos personales pueden ser transferidos fuera de Colombia. Estas transferencias se realizan conforme al artículo 26 de la Ley 1581 de 2012 y se fundamentan en que los proveedores cuentan con niveles adecuados de protección de datos certificados por estándares internacionales (SOC 2, ISO 27001, GDPR compliance).
8. Derechos del titular (ARCO)
De conformidad con los artículos 8 y 15 de la Ley 1581 de 2012, el titular tiene derecho a:
- Acceso: Conocer los datos personales que Comerciaya tiene almacenados sobre él.
- Rectificación: Solicitar la corrección de datos incompletos, inexactos o desactualizados.
- Cancelación (supresión): Solicitar la eliminación de sus datos cuando: (a) no sean necesarios para la finalidad para la que fueron recogidos; (b) haya vencido el plazo de retención; (c) se revoque la autorización; o (d) el tratamiento no respete los principios establecidos en la ley.
- Oposición: Oponerse al tratamiento de sus datos para finalidades no autorizadas.
- Revocación de la autorización: Revocar el consentimiento otorgado, total o parcialmente, lo que puede implicar la terminación del servicio.
8.1 Procedimiento para ejercer los derechos
- Enviar solicitud a agenciachispacol@gmail.com con asunto "Solicitud de datos personales — [DERECHO]".
- Incluir: nombre completo, correo electrónico registrado, descripción de la solicitud y copia del documento de identidad.
- Consultas: Se atenderán en un plazo máximo de 10 días hábiles (prorrogables por 5 días más, previa notificación).
- Reclamos: Se atenderán en un plazo máximo de 15 días hábiles (prorrogables por 8 días más, previa notificación).
- Si la respuesta no satisface al titular, podrá acudir ante la Superintendencia de Industria y Comercio (SIC).
9. Medidas de seguridad
Comerciaya implementa las siguientes medidas técnicas, humanas y administrativas para proteger los datos personales:
9.1 Medidas técnicas
- Transmisión cifrada mediante HTTPS/TLS 1.3 en toda la Plataforma.
- Contraseñas almacenadas con hash bcrypt (Supabase Auth) — nunca en texto plano.
- Row Level Security (RLS) en la base de datos: cada usuario solo accede a sus propios datos.
- Credenciales de pasarelas de pago almacenadas en tablas con RLS estricto — inaccesibles desde el navegador del usuario final.
- Datos en reposo cifrados por el proveedor de base de datos (AES-256).
- Copias de seguridad automáticas diarias con retención de 7 días.
9.2 Medidas humanas
- Acceso a la base de datos de producción restringido al responsable del tratamiento.
- Capacitación en protección de datos para todo colaborador que acceda a información personal.
9.3 Medidas administrativas
- Política de contraseñas seguras (mínimo 6 caracteres, recomendación de uso de gestores de contraseñas).
- Auditoría de accesos a la base de datos mediante logs de Supabase.
- Procedimiento documentado de respuesta ante incidentes de seguridad.
10. Retención y supresión de datos
| Tipo de dato | Período de retención | Fundamento |
|---|---|---|
| Datos de cuentas activas | Mientras dure la relación contractual | Ejecución contractual |
| Datos de cuentas canceladas | 30 días calendario tras la cancelación | Período de gracia para recuperación |
| Datos de pedidos y transacciones | 5 años desde la transacción | Obligación fiscal (art. 632, Estatuto Tributario) |
| Logs de acceso y eventos | 12 meses | Seguridad y diagnóstico |
| Datos de facturación | 5 años | Obligación fiscal |
Transcurridos los plazos indicados, los datos serán eliminados de forma segura e irreversible.
11. Tratamiento de datos de menores
La Plataforma no está dirigida a menores de 18 años. No recopilamos conscientemente datos de menores de edad. Si detectamos que un menor ha creado una cuenta, procederemos a eliminarla inmediatamente junto con todos sus datos asociados, conforme al artículo 7 de la Ley 1581 de 2012.
12. Incidentes de seguridad
En caso de un incidente de seguridad que comprometa datos personales, Comerciaya:
- Notificará a los titulares afectados dentro de las 72 horas siguientes al descubrimiento del incidente.
- Informará a la Superintendencia de Industria y Comercio (SIC) conforme a la normativa vigente.
- Tomará las medidas correctivas necesarias para mitigar los efectos del incidente.
- Documentará el incidente, sus causas y las acciones correctivas implementadas.
13. Cookies y tecnologías de rastreo
- localStorage: Sesión del administrador, preferencias del catálogo, caché de datos.
- Cookies de sesión (Supabase): Autenticación del administrador.
- Meta Pixel (opcional): Solo si el Comerciante configura su propio Pixel ID. Comerciaya no rastrea a los visitantes de las tiendas por cuenta propia.
No utilizamos cookies de publicidad, rastreo de terceros ni compartimos datos de navegación con redes publicitarias.
14. Vigencia y modificaciones
Esta política entra en vigencia el 9 de marzo de 2026 y permanecerá vigente mientras Comerciaya opere la Plataforma.
Las modificaciones sustanciales serán notificadas al correo electrónico registrado con al menos 15 días de anticipación. La versión vigente siempre estará disponible en comerciaya.com/legal/tratamiento-datos.
15. Autoridad de vigilancia
El titular puede presentar quejas o reclamaciones ante:
- Superintendencia de Industria y Comercio (SIC)
- Delegatura para la Protección de Datos Personales
- Sitio web: www.sic.gov.co
- Línea gratuita nacional: 018000-910165
16. Contacto del responsable
Jerson Camilo Moncada Romero
Correo: agenciachispacol@gmail.com
WhatsApp: +57 320 946 7044
Bogotá D.C., Colombia
Declaración del titular: Al registrarse en Comerciaya y marcar la casilla de aceptación, el titular declara que ha sido informado de manera clara, expresa y suficiente sobre el tratamiento de sus datos personales conforme a la presente política, y otorga su autorización libre, previa, expresa e informada para dicho tratamiento.