Política de Tratamiento de Datos Personales y Privacidad
Versión 1.0 — Última actualización: mayo de 2026
1. Identificación del Responsable del Tratamiento
DIGITAL TECH IDEAS S.A.S., sociedad comercial colombiana, identificada con NIT 901.145.473-1, con domicilio principal en Bucaramanga, en adelante "DTI", la "Compañía" o el "Responsable", es responsable del Tratamiento de los datos personales que recolecta, almacena, usa, consulta, procesa, circula, transmite, transfiere, actualiza o suprime en desarrollo de sus actividades empresariales, productos, servicios, plataformas, aplicaciones y canales digitales. Canales de contacto del Responsable: dirección física Cra 29 # 45 - 94, correo electrónico de privacidad [email protected], correo de soporte [email protected], sitio web corporativo www.digitaltechideas.com y demás canales oficiales que DTI publique o habilite. Cuando DTI trate datos personales por cuenta de un cliente empresarial, institución, aliado, anunciante, administrador de cuenta, integrador o tercero que decide las finalidades y medios esenciales del Tratamiento, DTI podrá actuar como Encargado del Tratamiento respecto de esos datos y tratará la información de conformidad con las instrucciones documentadas del respectivo Responsable, esta Política, los contratos aplicables y la ley.
2. Objeto y alcance corporativo de la Política
Esta Política establece las reglas generales bajo las cuales DTI trata datos personales en Colombia y, cuando corresponda, desde o hacia otros países, en relación con todos sus productos, marcas, sitios web, plataformas SaaS, aplicaciones móviles, APIs, bots, automatizaciones, integraciones, canales de mensajería, redes sociales, servicios profesionales, pruebas, demos, eventos, soporte, actividades comerciales y servicios digitales actuales o futuros. La Política es general para la compañía y no se limita a un producto específico. Aplica, entre otros, a productos o servicios como plataformas de contratación y análisis empresarial, aplicaciones de noticias, aplicaciones de horóscopo o entretenimiento, servicios de validación de cédulas o documentos, automatizaciones por WhatsApp, Facebook, Instagram, TikTok u otros canales, herramientas de entrenamiento para pruebas ICFES, soluciones de inteligencia artificial, chatbots, CRM, integraciones, analítica, notificaciones, campañas, formularios, landing pages y desarrollos similares que DTI opere directa o indirectamente. Algunos productos podrán tener términos y condiciones, avisos de privacidad, autorizaciones, configuraciones, políticas de cookies, condiciones comerciales o anexos específicos. En caso de contradicción, el documento específico prevalecerá para el producto o servicio concreto en lo estrictamente regulado, sin perjuicio de la aplicación general de esta Política. Esta Política no reemplaza las políticas de privacidad de terceros, tales como tiendas de aplicaciones, pasarelas de pago, proveedores de nube, redes sociales, servicios de mensajería, plataformas de publicidad, entidades públicas, fuentes oficiales, instituciones educativas, proveedores de datos o integraciones externas. Dichos terceros podrán tratar datos bajo sus propias responsabilidades y condiciones.
3. Rol de DTI como Responsable y/o Encargado
DTI podrá actuar como Responsable del Tratamiento cuando decide las finalidades, condiciones y medios esenciales del Tratamiento, por ejemplo, al administrar cuentas, prestar soporte directo, facturar, gestionar pagos, enviar comunicaciones propias, operar aplicaciones de consumo, analizar uso de sus productos, cumplir obligaciones legales, proteger seguridad, mejorar servicios, atender derechos de titulares o desarrollar actividades comerciales propias. DTI podrá actuar como Encargado cuando un cliente, empresa, institución, aliado o administrador usa las soluciones de DTI para cargar, consultar, validar, automatizar, segmentar, comunicar, analizar, enriquecer, integrar o procesar datos de sus propios usuarios, clientes, leads, empleados, estudiantes, contactos, proveedores o terceros. En estos casos, el cliente o aliado será responsable de contar con las autorizaciones, avisos, bases legales, permisos de plataforma y comunicaciones requeridas. En ciertos escenarios DTI y un tercero podrán tener roles independientes, concurrentes o complementarios. Por ejemplo, una red social puede actuar como responsable independiente respecto de sus propios usuarios; una pasarela de pago puede tratar datos para cumplir deberes financieros y antifraude; y una tienda de aplicaciones puede gestionar compras, suscripciones y reembolsos bajo sus políticas.
4. Definiciones
• Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales, salvo las excepciones previstas en la ley. • Aviso de privacidad: comunicación verbal, escrita o electrónica mediante la cual DTI informa al Titular sobre la existencia de esta Política, las finalidades del Tratamiento, sus derechos y los canales de atención. • Dato personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable. • Dato público: dato que no sea semiprivado, privado o sensible y que, entre otros, puede estar contenido en registros públicos, documentos públicos, gacetas, boletines oficiales o sentencias ejecutoriadas que no estén sometidas a reserva. • Dato semiprivado o privado: información cuyo conocimiento o divulgación interesa a su Titular o a un sector determinado, o datos de naturaleza íntima o reservada, según corresponda. • Dato sensible: información que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación, como datos de salud, biométricos, origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia sindical, vida sexual u otros legalmente protegidos. • Encargado: persona natural o jurídica que realiza Tratamiento de datos personales por cuenta del Responsable. • Responsable: persona natural o jurídica que decide sobre la base de datos o el Tratamiento. • Titular: persona natural cuyos datos personales son objeto de Tratamiento. • Tratamiento: cualquier operación sobre datos personales, incluyendo recolección, almacenamiento, uso, consulta, análisis, circulación, transmisión, transferencia, actualización, supresión, anonimización, bloqueo o conservación. • Usuario: persona que accede, instala, navega, se registra, interactúa o utiliza cualquier producto, servicio, app, plataforma, sitio web, API, chatbot, canal o integración de DTI.
5. Principios aplicables al Tratamiento
DTI tratará datos personales conforme a los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, necesidad, proporcionalidad, temporalidad, privacidad desde el diseño, privacidad por defecto y responsabilidad demostrada. • DTI procurará recolectar datos adecuados, pertinentes y limitados a lo necesario para las finalidades informadas o autorizadas. • DTI no utilizará medios engañosos o fraudulentos para recolectar datos personales. • DTI adoptará medidas razonables para mantener la información completa, exacta, actualizada, comprobable y comprensible, según la naturaleza de la fuente y el servicio. • DTI limitará el acceso a datos personales a personas, proveedores y sistemas que requieran conocerlos para cumplir sus funciones o finalidades autorizadas. • DTI aplicará controles de seguridad proporcionales al riesgo, tipo de dato, volumen, tecnología, canal y contexto de Tratamiento.
6. Categorías de Titulares
Esta Política puede aplicar a las siguientes categorías de Titulares, sin limitarse a ellas: • Usuarios registrados o visitantes de sitios web, apps móviles, plataformas, formularios, landing pages, APIs, bots, redes sociales y canales digitales de DTI. • Clientes, potenciales clientes, leads, suscriptores, compradores, pagadores, administradores de cuenta y representantes de empresas. • Usuarios finales de clientes empresariales o aliados que usan soluciones de DTI, incluyendo contactos de campañas, destinatarios de mensajes, estudiantes, beneficiarios, participantes, proveedores, contratistas o terceros integrados. • Representantes legales, empleados, socios, accionistas, revisores fiscales, contadores, apoderados, miembros de equipos, consultores y terceros incluidos en documentos cargados o procesados en soluciones de DTI. • Usuarios de aplicaciones de noticias, horóscopo, entretenimiento, educación, entrenamiento para ICFES, validación de identidad, productividad, IA o servicios similares. • Niños, niñas y adolescentes, únicamente cuando un producto o caso de uso lo permita y se cumplan las reglas especiales previstas en la ley y en esta Política. • Empleados, candidatos, contratistas, proveedores, aliados, inversionistas, asesores y visitantes de DTI, cuando sus datos sean tratados en actividades corporativas.
7. Categorías de datos personales que puede tratar DTI
Según el producto, canal, configuración, autorización, relación contractual y finalidad aplicable, DTI podrá tratar las siguientes categorías de datos: • Identificación y contacto: nombres, apellidos, tipo y número de documento, fecha de expedición, nacionalidad, firma, usuario, cargo, empresa, NIT, correo, teléfono, dirección, ciudad, país, redes sociales, alias, handle, avatar o foto de perfil. • Cuenta y autenticación: credenciales cifradas o resumidas, roles, permisos, tokens, sesiones, doble factor, IP, identificadores de dispositivo, navegador, sistema operativo, logs de acceso, registros de aceptación y actividad de cuenta. • Datos comerciales y de facturación: plan contratado, suscripción, pruebas, compras web o in-app, órdenes, facturas, impuestos, cartera, pagos, pasarela, tienda de aplicaciones, identificadores de transacción, medio de pago tokenizado, últimos dígitos del instrumento de pago, historial de compras y solicitudes de reembolso. • Datos técnicos, analítica y uso: eventos de navegación, pantallas visitadas, funcionalidades usadas, clics, búsquedas, errores, rendimiento, fuente de adquisición, campañas, identificadores publicitarios, SDKs, cookies, preferencias, configuración de notificaciones, idioma, zona horaria y métricas agregadas. • Contenido y archivos del usuario o cliente: documentos, imágenes, formularios, mensajes, audios, videos, anexos, bases de datos, listas, respuestas, comentarios, prompts, resultados, reportes, matrices, certificados, propuestas, contratos, comunicaciones y demás información cargada, enviada o conectada. • Datos de comunicaciones y soporte: tickets, chats, llamadas, correos, solicitudes, PQRS, encuestas, grabaciones cuando se informe, historial de atención, autorizaciones, preferencias de contacto, opt-in, opt-out y evidencias de entrega o lectura cuando la tecnología lo permita. • Datos de ubicación: país, ciudad, ubicación aproximada por IP o, si el usuario lo autoriza, ubicación precisa para funcionalidades que la requieran, como noticias locales, seguridad, personalización, validaciones o servicios georreferenciados. • Datos de redes sociales, mensajería e integraciones: IDs de perfil, páginas, cuentas, comentarios, mensajes, adjuntos, leads, conversaciones, plantillas, métricas, permisos OAuth, tokens de acceso, estados de envío, respuestas, listas de destinatarios y metadatos de canales como WhatsApp, Facebook, Instagram, TikTok u otros. • Datos educativos o de entrenamiento: grado, curso, institución, resultados de simulacros, respuestas, progreso, desempeño, intereses académicos, objetivos de aprendizaje, historial de práctica, retroalimentación y métricas de uso en apps de entrenamiento, incluyendo ICFES u otros exámenes. • Datos de entretenimiento, noticias y preferencias: temas de interés, categorías de noticias, favoritos, historial de lectura, alertas, signo zodiacal, fecha, hora o lugar de nacimiento cuando el usuario los suministre voluntariamente para funciones de horóscopo, preferencias de contenido y personalización. • Datos para validación de identidad o documentos: tipo y número de documento, nombres, apellidos, fecha de nacimiento o expedición cuando aplique, estado de validación, fuentes consultadas, evidencias, metadatos de consulta y registros antifraude. • Datos derivados, inferidos o generados: segmentos, recomendaciones, etiquetas, puntajes internos no crediticios, clasificaciones, alertas, resúmenes, indicadores, predicciones, embeddings, resultados de IA, métricas de calidad, riesgo técnico o señales antifraude. • Datos de fuentes públicas o autorizadas: información disponible en registros públicos, portales oficiales, fuentes abiertas, bases autorizadas por el cliente, entidades públicas, cámaras de comercio, plataformas de contratación, instituciones educativas o fuentes que el usuario o cliente conecte. DTI no busca recolectar datos sensibles salvo que sean necesarios para una finalidad específica, que exista autorización expresa o habilitación legal, o que el propio Titular o cliente los incluya voluntariamente en documentos, mensajes, formularios o integraciones. Cuando no sean necesarios, DTI podrá recomendar no suministrarlos, restringir su uso, anonimizar, bloquear o eliminar dichos datos conforme a sus procedimientos.
8. Datos y finalidades por líneas de negocio o casos de uso
Sin que esta lista limite productos actuales o futuros de DTI, las siguientes reglas orientan el Tratamiento por tipo de servicio: 8.1 Plataformas SaaS, analítica empresarial, contratación, IA documental y automatización DTI podrá tratar información de empresas, usuarios, documentos, certificados, estados financieros, procesos, reportes, experiencia, credenciales, permisos, búsquedas, alertas, integraciones y resultados de IA para prestar herramientas de análisis, comparación, extracción, automatización, generación de reportes, flujos de trabajo, notificaciones, tableros y soporte. En estos casos DTI podrá actuar como Responsable respecto de datos de cuenta, facturación, seguridad y soporte, y como Encargado respecto de datos cargados por clientes para sus propias finalidades. 8.2 Aplicaciones de noticias y contenido informativo DTI podrá tratar datos de navegación, preferencias de temas, ubicación aproximada o precisa cuando se autorice, favoritos, interacciones, comentarios, suscripciones, notificaciones, métricas de lectura, identificadores publicitarios y analítica para personalizar contenido, enviar alertas, medir desempeño, moderar interacciones, prevenir abuso y mejorar la experiencia. 8.3 Aplicaciones de horóscopo, entretenimiento y bienestar digital DTI podrá tratar datos que el usuario suministre voluntariamente, como fecha, hora y lugar de nacimiento, signo zodiacal, preferencias de contenido, historial de uso, suscripciones, notificaciones y respuestas. Estas funcionalidades son de entretenimiento o bienestar digital y no requieren que el usuario revele creencias religiosas, filosóficas, políticas, información de salud u otros datos sensibles. Si el usuario decide incluir información sensible en campos abiertos, DTI la tratará conforme a la ley, esta Política y la finalidad autorizada, sin que el Titular esté obligado a suministrarla. 8.4 Validación de cédulas, identidad, documentos o registros DTI podrá tratar datos de identificación, metadatos de consulta, fuentes autorizadas, resultados de validación, evidencia de autorización, logs y señales antifraude para verificar datos, prevenir suplantación, asistir procesos de onboarding, control de acceso, cumplimiento contractual o validaciones solicitadas por usuarios o clientes. La validación no deberá usarse para finalidades discriminatorias, ilegales, crediticias, laborales, aseguradoras o de vigilancia no autorizada. El cliente o usuario que solicita validaciones de terceros declara contar con autorización o habilitación legal suficiente. 8.5 Automatizaciones por WhatsApp, Facebook, Instagram, TikTok y otros canales DTI podrá procesar datos de cuentas conectadas, permisos, tokens, plantillas, conversaciones, mensajes, adjuntos, comentarios, leads, métricas, respuestas, listas de destinatarios, opt-ins, opt-outs y estados de entrega para operar bots, flujos, CRM, campañas, soporte, recordatorios, atención al cliente, integraciones y analítica. El cliente o administrador que use estas automatizaciones es responsable de respetar las políticas de cada plataforma, obtener autorizaciones y atender derechos de sus contactos o usuarios finales cuando actúe como Responsable. 8.6 Aplicaciones de entrenamiento para ICFES, educación y aprendizaje DTI podrá tratar datos de cuenta, edad, grado, institución, curso, respuestas, resultados, progreso, desempeño, simulacros, preferencias de estudio, reportes, retroalimentación, pagos, soporte y comunicaciones para prestar servicios educativos, personalizar práctica, generar estadísticas, medir avance y mejorar contenidos. Cuando participen niños, niñas o adolescentes, DTI aplicará las reglas especiales de esta Política, exigirá autorización del representante legal cuando corresponda y procurará que el Tratamiento respete el interés superior del menor y sus derechos fundamentales. 8.7 Servicios profesionales, desarrollo a la medida, APIs e integraciones DTI podrá tratar datos proporcionados por clientes, proveedores, aliados, usuarios finales y sistemas conectados para levantar requerimientos, desarrollar, probar, desplegar, monitorear, mantener, integrar, asegurar y soportar soluciones. El alcance, roles de Tratamiento, confidencialidad, seguridad, retención y devolución o eliminación de datos deberán complementarse en contratos, anexos de procesamiento, órdenes de servicio o acuerdos específicos.
9. Finalidades generales del Tratamiento
DTI podrá tratar datos personales para las siguientes finalidades generales, según aplique al producto, canal o relación concreta: • Crear, registrar, autenticar, administrar, verificar, recuperar y proteger cuentas de usuarios, clientes, administradores y aliados. • Prestar, operar, mantener, personalizar, actualizar, probar, medir, mejorar, asegurar y soportar productos, plataformas, aplicaciones, servicios SaaS, APIs, bots, automatizaciones, integraciones y canales digitales. • Procesar contenidos, documentos, mensajes, consultas, formularios, prompts, bases, archivos o datos que el usuario o cliente cargue, conecte o envíe para ejecutar funcionalidades contratadas o solicitadas. • Generar reportes, resultados, resúmenes, alertas, recomendaciones, notificaciones, indicadores, tableros, respuestas, automatizaciones, validaciones, clasificaciones, predicciones, retroalimentación o contenidos personalizados. • Gestionar planes, pruebas gratuitas, licencias, suscripciones, compras web, compras in-app, renovaciones, upgrades, downgrades, facturación, impuestos, pagos, conciliaciones, reversión de pagos, reembolsos, cartera y cobranza. • Enviar comunicaciones transaccionales, operativas, de seguridad, soporte, facturación, servicio, cambios contractuales, incidentes, actualizaciones, vencimientos, recordatorios, alertas y demás mensajes necesarios para la relación con el usuario o cliente. • Enviar comunicaciones comerciales, promocionales, educativas, informativas, encuestas, eventos, novedades, ofertas, contenidos, anuncios y campañas, cuando exista autorización, relación previa, habilitación legal o mecanismo válido aplicable, y siempre con opciones razonables de cancelación cuando corresponda. • Administrar notificaciones por correo, SMS, llamadas, WhatsApp, mensajería, push, in-app, redes sociales u otros canales, diferenciando comunicaciones necesarias del servicio y comunicaciones promocionales. • Atender consultas, reclamos, PQRS, solicitudes de titulares, soporte técnico, garantías, incidentes, auditorías, quejas, disputas, requerimientos de autoridades y defensa jurídica. • Prevenir, detectar, investigar y mitigar fraude, spam, abuso, suplantación, accesos no autorizados, incumplimientos, ataques, scraping indebido, malware, vulnerabilidades, comportamientos anómalos, chargebacks o actividades ilícitas. • Realizar analítica, métricas, investigación, entrenamiento, evaluación, monitoreo y mejora de modelos, productos y servicios, preferiblemente con datos anonimizados, agregados, sintéticos o minimizados, y con autorización cuando sea necesaria. • Cumplir obligaciones legales, contractuales, contables, tributarias, societarias, laborales, administrativas, de consumidor, habeas data, protección de datos, propiedad intelectual, ciberseguridad, prevención de lavado cuando aplique y conservación documental. • Realizar transmisiones o transferencias nacionales e internacionales necesarias para alojar, procesar, comunicar, analizar, facturar, soportar, asegurar o prestar los servicios, conforme a la ley y esta Política. • Gestionar relaciones con empleados, candidatos, contratistas, proveedores, aliados, asesores, inversionistas y visitantes, de acuerdo con políticas internas o documentos específicos aplicables.
10. Autorización, aviso de privacidad y otras habilitaciones legales
DTI solicitará autorización para el Tratamiento de datos personales cuando la ley lo exija. La autorización podrá obtenerse por medios físicos, electrónicos, verbales, conductas inequívocas, formularios, casillas de aceptación, registro en plataformas, instalación o uso de apps, configuración de cuenta, aceptación de términos, firma de contratos, respuestas a mensajes, permisos de sistema operativo, permisos de redes sociales, integraciones OAuth u otros mecanismos que permitan conservar evidencia razonable de la autorización. La autorización no será necesaria en los casos exceptuados por la ley, como información requerida por entidad pública o administrativa en ejercicio de funciones legales, datos de naturaleza pública, casos de urgencia médica o sanitaria, Tratamiento autorizado por la ley para fines históricos, estadísticos o científicos, o datos relacionados con el registro civil de las personas, entre otros eventos aplicables. Cuando DTI recolecte datos a través de un aviso de privacidad, informará por lo menos la identidad del Responsable, las finalidades principales, derechos del Titular, canales de atención y forma de acceder a esta Política. Cuando se modifiquen finalidades sustanciales, DTI evaluará si debe obtener una nueva autorización. El Titular podrá revocar su autorización o solicitar supresión de sus datos en los casos previstos por la ley. La revocatoria o supresión no procederá cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos, exista una obligación de conservación, la información sea necesaria para defensa jurídica, seguridad, facturación, auditoría, prevención de fraude o cumplimiento de una finalidad legalmente permitida.
11. Datos sensibles, biométricos, de salud, ubicación precisa y datos de especial protección
DTI no exige al Titular suministrar datos sensibles salvo que sean estrictamente necesarios para una finalidad específica, exista autorización expresa, haya una habilitación legal o el Titular los entregue voluntariamente en campos abiertos, documentos, conversaciones o integraciones. El Titular no está obligado a autorizar el Tratamiento de datos sensibles. Cuando un producto o servicio requiera tratar datos sensibles, biométricos, de salud, ubicación precisa u otros datos de especial protección, DTI informará la finalidad, carácter facultativo u obligatorio del dato, consecuencias de no suministrarlo cuando sean aplicables, medidas de seguridad y derechos del Titular. DTI podrá solicitar autorizaciones separadas cuando sea recomendable o legalmente exigible. En servicios de validación de identidad, seguridad, antifraude, control de acceso, soporte, mensajería o IA, los usuarios y clientes deberán evitar cargar documentos o contenidos con datos sensibles que no sean necesarios. DTI podrá limitar, enmascarar, rechazar, anonimizar o eliminar información excesiva o no pertinente.
12. Datos de niños, niñas y adolescentes y servicios educativos
DTI reconoce la protección especial de los datos de niños, niñas y adolescentes. Su Tratamiento se realizará únicamente cuando responda y respete el interés superior del menor, asegure el respeto de sus derechos fundamentales y cumpla las reglas de autorización por parte del representante legal cuando corresponda, teniendo en cuenta la opinión del menor según su madurez y capacidad de entendimiento. Los productos de DTI dirigidos o utilizables por menores, como aplicaciones de entrenamiento para ICFES, educación, aprendizaje, simulacros o contenido académico, deberán aplicar controles razonables de minimización, seguridad, lenguaje claro, configuración de privacidad, limitación de finalidades, restricciones de marketing y mecanismos de acompañamiento de padres, acudientes, instituciones o responsables cuando sea necesario. DTI podrá tratar datos educativos, resultados, progreso, respuestas, reportes y métricas de aprendizaje para prestar el servicio, personalizar entrenamiento, generar retroalimentación, administrar suscripciones, mejorar contenidos y cumplir obligaciones contractuales o legales. DTI no usará datos de menores para finalidades incompatibles, discriminatorias o contrarias a sus derechos. Cuando una institución educativa, padre, acudiente o cliente empresarial habilite servicios para menores, dicho tercero deberá contar con las autorizaciones y avisos requeridos frente a estudiantes, padres o representantes, salvo que DTI asuma expresamente esa gestión en un documento específico.
13. Inteligencia artificial, automatización, perfilamiento y analítica avanzada
DTI podrá usar sistemas de inteligencia artificial, aprendizaje automático, modelos de lenguaje, visión, extracción documental, clasificación, recomendación, automatización, perfilamiento, analítica predictiva o reglas de negocio para prestar y mejorar sus servicios. Estos sistemas podrán procesar datos personales, datos seudonimizados, agregados o anonimizados según la finalidad, configuración y rol de DTI. Las funcionalidades de IA pueden utilizarse para, entre otros fines: resumir o clasificar documentos, extraer campos, detectar inconsistencias, generar recomendaciones, responder consultas, personalizar contenido, analizar patrones de uso, sugerir acciones, facilitar soporte, moderar contenido, validar información, mejorar seguridad, automatizar flujos y medir calidad. • DTI procurará aplicar privacidad desde el diseño y por defecto, minimización, control de acceso, seguridad, trazabilidad, evaluación de riesgos, calidad razonable de datos, pruebas, monitoreo y revisión humana proporcional al riesgo del sistema. • Los resultados generados por IA pueden contener errores, sesgos, omisiones o inferencias inexactas. Cuando un resultado pueda afectar derechos, intereses relevantes o decisiones significativas, el usuario, cliente o responsable del proceso deberá realizar revisión humana y validar la información con fuentes oficiales o documentos originales. • DTI no usará contenido confidencial de clientes empresariales para entrenar modelos de terceros con fines propios, salvo autorización, anonimización efectiva, agregación, obligación legal o estipulación contractual expresa. DTI podrá usar métricas técnicas, datos agregados, anonimizados o sintéticos para seguridad, calidad y mejora. • Cuando DTI use proveedores de IA o infraestructura ubicados en Colombia o en el exterior, podrá transmitir datos conforme a acuerdos de encargado, cláusulas de confidencialidad, seguridad, instrucciones y restricciones de uso aplicables. • El Titular podrá solicitar información sobre el Tratamiento de sus datos y, cuando sea procedente, requerir actualización, rectificación, supresión, revocatoria u oponerse a finalidades no necesarias, conforme al procedimiento de esta Política. Salvo que se informe expresamente lo contrario y se cumpla la ley aplicable, DTI no tomará decisiones exclusivamente automatizadas que produzcan efectos jurídicos o impactos significativos sobre el Titular sin intervención humana razonable, posibilidad de revisión o mecanismo de reclamación.
14. Validación de identidad, cédulas y documentos
En servicios de validación de cédulas, documentos, identidad, registros, antecedentes de consistencia o verificación de datos, DTI podrá tratar datos suministrados por el usuario o cliente, datos consultados en fuentes públicas o autorizadas, metadatos de validación, resultados, logs, IP, fecha y hora de consulta, identificadores de transacción y evidencias de autorización. DTI podrá actuar como Encargado cuando la validación sea solicitada por un cliente que decide la finalidad, destinatario y consecuencia de la consulta. En ese evento, el cliente declara y garantiza que cuenta con autorización, habilitación legal o interés legítimo reconocido por la normativa aplicable, que informó al Titular cuando sea necesario y que no usará los resultados para fines prohibidos, discriminatorios, engañosos o incompatibles. DTI podrá rechazar, suspender o auditar usos que aparenten ser masivos, abusivos, discriminatorios, no autorizados, de vigilancia, scraping, suplantación, acoso, fraude, comercialización indebida de datos o toma de decisiones reguladas sin soporte legal. Los resultados de validación pueden depender de fuentes de terceros y no sustituyen certificaciones oficiales cuando estas sean exigidas por la autoridad competente.
15. Automatizaciones, integraciones y mensajería en WhatsApp, Facebook, Instagram, TikTok y otros canales
DTI podrá proveer herramientas para automatizar conversaciones, respuestas, campañas, notificaciones, atención al cliente, captación de leads, analítica, moderación, CRM, recordatorios, integraciones y flujos en canales de mensajería, redes sociales y plataformas de terceros. Estas herramientas podrán tratar datos de cuentas conectadas, páginas, perfiles, comentarios, conversaciones, mensajes, adjuntos, formularios, eventos, permisos, tokens, plantillas, métricas y estados de entrega. El cliente o administrador que conecta una cuenta, página, bot, número, canal o integración declara que tiene facultades para hacerlo, que cumple los términos y políticas de la plataforma correspondiente, que cuenta con autorización o base legal para contactar destinatarios, que respeta horarios, finalidades, preferencias y mecanismos de exclusión, y que atenderá derechos de los titulares cuando actúe como Responsable. DTI no controla las políticas, disponibilidad, cambios de APIs, revisiones de plantillas, bloqueos, limitaciones, métricas, algoritmos o decisiones de plataformas de terceros. Los titulares también podrán ejercer derechos o ajustar preferencias directamente en dichas plataformas, sin perjuicio de los canales de DTI cuando el Tratamiento sea realizado por DTI.
16. Cookies, SDKs, píxeles, identificadores y tecnologías similares
DTI podrá usar cookies, SDKs, píxeles, almacenamiento local, identificadores publicitarios, herramientas de analítica, medición, atribución, monitoreo, mapas de calor, crash reporting, antifraude y tecnologías similares en sitios web, aplicaciones, correos y servicios digitales. Estas tecnologías pueden cumplir finalidades estrictamente necesarias, de seguridad, autenticación, recordación de preferencias, analítica, personalización, rendimiento, publicidad, atribución de campañas, prevención de fraude y mejora de servicios. DTI implementará mecanismos de información, configuración o consentimiento cuando sean exigidos o recomendables según el tipo de tecnología, finalidad y dato tratado. El usuario puede gestionar ciertas preferencias desde el navegador, sistema operativo, app, centro de preferencias, enlaces de exclusión o configuraciones de terceros. La desactivación de tecnologías necesarias puede afectar la disponibilidad o funcionamiento de algunos productos.
17. Notificaciones, comunicaciones y preferencias de contacto
DTI podrá contactar al Titular por correo electrónico, SMS, llamada, WhatsApp, mensajería instantánea, notificaciones push, mensajes in-app, redes sociales, correspondencia física u otros canales informados o autorizados, según la finalidad y la relación con el Titular. Las comunicaciones podrán ser: • Transaccionales u operativas: mensajes necesarios o relacionados con registro, autenticación, seguridad, soporte, compras, facturación, pagos, cambios de contraseña, alertas configuradas, vencimientos, incidentes, cambios contractuales, funcionamiento del servicio o solicitudes del usuario. • Comerciales o promocionales: ofertas, novedades, contenidos, campañas, eventos, encuestas, recomendaciones, newsletters, descuentos o comunicaciones de marketing, sujetas a autorización, relación previa o habilitación legal aplicable, y con mecanismos de cancelación cuando corresponda. • Cobranza o gestión contractual: recordatorios de pago, mora, actualización de datos, renovación, terminación, suspensión o comunicaciones necesarias para gestionar una obligación pendiente, dentro de los límites legales aplicables. El Titular podrá gestionar preferencias, cancelar comunicaciones comerciales o solicitar exclusión mediante enlaces de baja, respuestas al canal, configuraciones de app, ajustes del dispositivo, centro de preferencias o solicitud al correo de privacidad. La cancelación de marketing no impide que DTI envíe comunicaciones transaccionales, legales, de seguridad, soporte, facturación o servicio necesarias. DTI procurará respetar horarios, canales autorizados, frecuencia razonable, finalidad informada, evidencia de autorización y restricciones legales aplicables a comunicaciones comerciales, cobranza y contacto con consumidores.
18. Pagos, facturación, suscripciones, compras web e in-app
DTI podrá tratar datos necesarios para gestionar planes, licencias, compras, suscripciones, pruebas, renovaciones, facturación, impuestos, medios de pago, conciliaciones, reembolsos, reversión de pagos, prevención de fraude, soporte de compras, garantías, cartera y cobranza. Los pagos podrán procesarse mediante pasarelas de pago, adquirentes, procesadores, entidades financieras, tiendas de aplicaciones, billeteras, operadores de facturación electrónica u otros terceros. DTI normalmente no almacena números completos de tarjetas ni códigos de seguridad cuando el pago se procesa por terceros; en esos casos podrá recibir identificadores de transacción, token, últimos dígitos, estado de pago, método, país, valor, moneda, fecha, factura y datos necesarios para soporte y conciliación. En compras realizadas dentro de aplicaciones móviles, la tienda de aplicaciones correspondiente podrá actuar como responsable independiente para procesar el pago, administrar suscripciones, renovaciones, cancelaciones, reembolsos, impuestos y comprobantes, de acuerdo con sus políticas. DTI podrá recibir identificadores de compra, recibos, estado de suscripción y datos técnicos necesarios para habilitar o verificar acceso al servicio. DTI conservará registros de compra, aceptación de términos, facturas, soportes, logs y comunicaciones durante los plazos necesarios para obligaciones contractuales, tributarias, contables, de consumidor, auditoría, seguridad, defensa jurídica y prevención de fraude.
19. Derechos de los Titulares
Los Titulares de datos personales tienen derecho a: • Conocer, actualizar y rectificar sus datos personales frente a DTI o frente al Encargado cuando corresponda. • Solicitar prueba de la autorización otorgada, salvo cuando la ley exceptúe la autorización. • Ser informados, previa solicitud, sobre el uso que DTI ha dado a sus datos personales. • Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones al régimen de protección de datos personales, una vez agotado el trámite de consulta o reclamo ante DTI cuando sea exigible. • Revocar la autorización o solicitar supresión del dato cuando no exista deber legal o contractual de conservarlo y se cumplan los requisitos legales. • Acceder gratuitamente a sus datos personales que hayan sido objeto de Tratamiento, en los términos legales. • Solicitar actualización, corrección, limitación, prueba de autorización, información sobre finalidades, y cuando proceda, oposición a finalidades no necesarias o comerciales. Para proteger la seguridad y privacidad, DTI podrá verificar la identidad del solicitante, requerir documentos de representación, validar titularidad de cuenta o solicitar información adicional razonable antes de atender una solicitud.
20. Procedimiento para consultas, reclamos, supresión y revocatoria
Las consultas sobre datos personales deberán enviarse al canal de privacidad [email protected] o a los canales oficiales habilitados. DTI atenderá consultas en un término máximo de diez (10) días hábiles contados desde la recepción. Si no es posible responder dentro de dicho término, informará los motivos de la demora y la fecha de respuesta, que no podrá superar cinco (5) días hábiles adicionales. Los reclamos de corrección, actualización, supresión, revocatoria o presunto incumplimiento deberán incluir identificación del Titular, descripción de hechos, datos de contacto, documentos soporte y, si actúa un tercero, prueba de representación. Si el reclamo está incompleto, DTI podrá requerir subsanación dentro de los cinco (5) días siguientes a la recepción. El reclamo completo será atendido en un término máximo de quince (15) días hábiles contados desde el día siguiente a su recepción. Si no es posible responder dentro de dicho término, DTI informará los motivos y la nueva fecha de respuesta, que no podrá superar ocho (8) días hábiles adicionales. Si DTI recibe una solicitud relacionada con datos respecto de los cuales actúa únicamente como Encargado, podrá responder según sus obligaciones contractuales, remitir la solicitud al Responsable correspondiente o informar al solicitante el canal aplicable cuando sea procedente y legalmente permitido.
21. Encargados, proveedores, aliados, integraciones y destinatarios
DTI podrá compartir, transmitir o permitir acceso a datos personales a proveedores, encargados, subencargados, aliados o destinatarios que apoyen sus operaciones, tales como servicios de nube, hosting, almacenamiento, bases de datos, IA, analítica, correo, SMS, push, WhatsApp, redes sociales, pasarelas de pago, facturación electrónica, tiendas de aplicaciones, CRM, soporte, comunicaciones, seguridad, monitoreo, desarrollo, auditoría, contabilidad, asesoría legal, prevención de fraude, educación, contenido, publicidad y automatización. DTI procurará que los Encargados y proveedores traten datos conforme a instrucciones, contratos, finalidades autorizadas, confidencialidad, seguridad y restricciones de uso. En particular, DTI podrá exigir restricciones sobre uso de datos para entrenamiento de modelos, venta de datos, publicidad no autorizada, reidentificación, subcontratación o transferencia no permitida. DTI podrá entregar información a autoridades administrativas, judiciales, tributarias, de control, protección al consumidor, protección de datos, seguridad, contratación pública o a terceros cuando exista obligación legal, orden válida, defensa de derechos, prevención de fraude, seguridad, investigación, auditoría, reorganización empresarial o autorización del Titular. En una fusión, escisión, inversión, financiación, adquisición, venta de activos, cesión de negocio, reorganización empresarial o proceso similar, DTI podrá transferir bases de datos conforme a la ley, informando cuando corresponda y procurando continuidad de medidas de protección.
22. Transferencias y transmisiones nacionales e internacionales
DTI puede usar proveedores, infraestructura, equipos técnicos, herramientas de IA, pasarelas, tiendas, redes sociales, servicios de analítica, soporte y almacenamiento ubicados dentro o fuera de Colombia. Por ello, los datos personales podrán ser transmitidos o transferidos nacional o internacionalmente cuando sea necesario para prestar, operar, alojar, procesar, comunicar, analizar, facturar, soportar, asegurar o mejorar los servicios. Cuando se realicen transferencias internacionales a países que no proporcionen niveles adecuados de protección de datos, DTI adoptará mecanismos permitidos por la ley, como autorización del Titular, necesidad contractual, salvaguardas contractuales, normas corporativas vinculantes cuando apliquen, evaluación de proveedores, acuerdos de transmisión, confidencialidad, seguridad, minimización o las excepciones legales correspondientes. Las transmisiones internacionales a Encargados se realizarán mediante acuerdos que establezcan alcance, duración, finalidad, tipo de datos, obligaciones, medidas de seguridad, confidencialidad, subencargados, atención de titulares, incidentes y devolución o supresión de datos al terminar el servicio, cuando aplique.
23. Seguridad de la información y gestión de incidentes
DTI implementará medidas técnicas, humanas, administrativas, físicas, organizacionales y contractuales razonables para proteger datos personales contra acceso no autorizado, pérdida, alteración, destrucción, uso indebido, divulgación no autorizada, fraude, abuso o tratamiento contrario a esta Política. • Controles de acceso, roles, contraseñas, autenticación y gestión de permisos. • Cifrado o seudonimización cuando sea viable y proporcional al riesgo. • Segregación lógica de ambientes, respaldos, monitoreo, registros de eventos y alertas de seguridad. • Prácticas de desarrollo seguro, revisión de proveedores, confidencialidad y capacitación. • Procedimientos para gestión de vulnerabilidades, incidentes, continuidad y recuperación. • Evaluación de riesgos para sistemas de IA, integraciones, APIs, datos de menores, datos sensibles y tratamientos de alto volumen o impacto. Ningún sistema es completamente seguro. Los usuarios, clientes y administradores deben proteger credenciales, dispositivos, redes, permisos, tokens e integraciones, usar configuraciones seguras y reportar oportunamente incidentes, accesos no autorizados, pérdida de credenciales o sospechas de vulneración. Cuando se presenten violaciones de seguridad que generen riesgos en la administración de información de titulares, DTI evaluará, mitigará, documentará y reportará a la autoridad competente o a los Responsables correspondientes cuando la ley o los contratos lo exijan.
24. Conservación, supresión, anonimización y copias de respaldo
DTI conservará los datos personales durante el tiempo necesario para cumplir las finalidades informadas, la relación contractual, prestación del servicio, soporte, seguridad, auditoría, facturación, obligaciones legales, contables, fiscales, laborales, societarias, consumidor, habeas data, defensa jurídica, prevención de fraude, continuidad operativa y conservación documental. Una vez cumplida la finalidad y vencidos los deberes de conservación, DTI suprimirá, anonimizará, bloqueará o agregará los datos conforme a procedimientos internos y a la ley, salvo que exista obligación o derecho a conservarlos. La eliminación puede no ser inmediata en copias de respaldo, logs o sistemas de archivo, los cuales serán protegidos y eliminados de manera cíclica o al vencer su periodo técnico razonable. Los clientes empresariales podrán solicitar exportación, devolución, supresión o anonimización de datos conforme a los términos del contrato, disponibilidad técnica, obligaciones legales y políticas del producto. DTI podrá conservar evidencias mínimas de cumplimiento, seguridad, facturación, disputas o auditoría aun después de cerrar una cuenta.
25. Obligaciones de clientes, empresas, administradores y usuarios frente a datos de terceros
Cuando un cliente, empresa, institución, aliado, administrador o usuario cargue, importe, conecte, consulte, valide, segmente, automatice, contacte o procese datos personales de terceros mediante productos o servicios de DTI, declara y garantiza que: • Cuenta con autorización, aviso, habilitación legal, relación contractual o base suficiente para realizar el Tratamiento y para encargarlo a DTI cuando corresponda. • Informó a los Titulares las finalidades, canales, derechos, transferencias, comunicaciones y uso de herramientas tecnológicas que correspondan. • Los datos son adecuados, pertinentes, necesarios, exactos y actualizados para la finalidad configurada. • No cargará datos sensibles, datos de menores, datos biométricos, datos de salud, información financiera o documentos reservados si no cuenta con autorización expresa, habilitación legal y medidas de seguridad adecuadas. • Respetará preferencias de contacto, opt-outs, horarios, restricciones de canales, políticas de plataformas, reglas de protección al consumidor, habeas data, propiedad intelectual y comunicaciones comerciales o de cobranza. • Atenderá solicitudes de titulares cuando actúe como Responsable y cooperará con DTI para resolver incidentes o reclamos relacionados con el servicio. • No usará los servicios de DTI para suplantación, acoso, scraping no autorizado, vigilancia ilegal, discriminación, fraude, spam, venta indebida de datos, decisiones reguladas sin soporte legal o cualquier actividad ilícita. DTI podrá suspender, limitar o terminar el acceso a servicios cuando identifique usos que puedan infringir esta Política, términos aplicables, derechos de terceros, seguridad, ley o políticas de plataformas integradas.
26. Responsabilidad demostrada, privacidad desde el diseño y auditoría interna
DTI procurará implementar un programa de cumplimiento proporcional a su tamaño, riesgos, naturaleza de datos y operaciones. Dicho programa podrá incluir inventario de bases de datos, matriz de finalidades, clasificación de datos, evaluación de proveedores, acuerdos de encargado, políticas internas, capacitación, controles de acceso, registros de autorizaciones, procedimientos de derechos de titulares, gestión de incidentes, revisión de IA y documentación de decisiones relevantes. Cuando DTI esté obligada a inscribir bases de datos en el Registro Nacional de Bases de Datos o a actualizar información ante la autoridad competente, gestionará dicho cumplimiento conforme a los umbrales, plazos y requisitos aplicables. DTI también procurará mantener evidencia de autorizaciones, avisos, aceptaciones de términos, cambios de política, consentimientos de cookies, compras, comunicaciones y solicitudes atendidas. Para nuevos productos, integraciones, automatizaciones, apps de menores, validaciones de identidad, IA, datos sensibles, alto volumen de datos o tratamientos novedosos, DTI debería realizar evaluaciones de riesgo y, cuando sea recomendable, evaluaciones de impacto de privacidad, pruebas de seguridad y revisión jurídica previa al lanzamiento.
27. Cambios de la Política
DTI podrá actualizar esta Política por cambios legales, tecnológicos, operativos, comerciales, de seguridad, nuevos productos, integraciones, proveedores, funcionalidades o prácticas de Tratamiento. La versión vigente estará disponible en https:/www.digitaltechideas.com/privacy o en los canales oficiales de DTI. Los cambios sustanciales relacionados con identidad del Responsable, finalidades esenciales, derechos de los Titulares o categorías relevantes de Tratamiento serán comunicados oportunamente por medios razonables y, cuando corresponda, DTI solicitará nueva autorización. El uso continuado de productos o servicios después de la entrada en vigencia de cambios no sustanciales implica conocimiento de la versión vigente, sin perjuicio de derechos legales.
28. Vigencia
Esta Política rige desde el 1 de mayo de 2026 y permanecerá vigente mientras DTI trate datos personales en desarrollo de sus finalidades. Las bases de datos tendrán la vigencia necesaria para cumplir la finalidad del Tratamiento y las obligaciones legales o contractuales aplicables.