Política de Tratamiento de datos

Con el objetivo de dar cumplimiento a la legislación vigente en materia de protección de datos, en especial la Ley 1581 de 2012 (y demás normas que la modifiquen, adicionen, complementen o desarrollen) y al Decreto 1377 de 2013, a continuación lo ponemos al tanto de los aspectos relevantes en relación con la recolección, uso y transferencia de datos personales que la Empresa UFOTECH S.A.S., realiza de sus datos personales, en virtud de la autorización otorgada por usted para adelantar dicho tratamiento, así como también el manejo.

En esta política de tratamiento de datos personales encontrará los lineamientos
corporativos y de ley bajo los cuales la Empresa realiza el tratamiento de sus datos, la finalidad, sus derechos como titular, así como los procedimientos internos y externos para el ejercicio de tales derechos. Contamos con una clara política de privacidad y protección de sus datos personales: no obtenemos información personal de terceros que tengan una relación comercial o jurídica con la Empresa, incluyéndolo a usted, a los Colaboradores o Proveedores, a menos que estos la hayan suministrado voluntariamente mediante su consentimiento previo, expreso y calificado UFOTECH S.A.S., comprometida con la protección de los derechos de privacidad y seguridad de la información, adopta esta política conforme a la Ley 1581 de 2012, Decreto 1377 de 2013 y estándares internacionales, incluyendo la norma ISO/IEC 27001:2022. Esta política integra medidas organizacionales, técnicas y contractuales, para garantizar el tratamiento adecuado de los datos personales, así como su protección frente a amenazas físicas, ambientales, digitales o legales, conforme a los controles 5.10, 5.19, 5.31 y 5.34 de la norma ISO 27001.

1. Objeto y Alcance: Esta sección complementa la Política General de Tratamiento de Datos de UFOTECH S.A.S. (GJ-PO-001) y tiene como objetivo establecer las finalidades, la recolección de datos y la gestión de la responsabilidad inherente al uso de la aplicación móvil y web SiFirma

2. Definiciones:  Para la interpretación de esta Política, le pedimos tener en cuenta las siguientes definiciones:

• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Datos sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta de la Empresa como Responsable de los datos.
• Evidencia de Firma (Metadatos de Auditoría): Información técnica generada durante el proceso de firma (IP, Hash, Log de Trazabilidad, Marca de Tiempo) necesaria para demostrar la autenticidad y la integridad del documento firmado, conforme a la Ley 527 de 1999.
• Política de Tratamiento: Se refiere al presente documento, como política de tratamiento de datos personales aplicada por la Empresa de conformidad con los lineamientos de la legislación vigente en la materia.
• Proveedor: Toda persona natural o jurídica que preste algún servicio a la Empresa en virtud de una relación contractual/obligacional.
•  Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos, para efectos de esta política, ejercerá como Responsable, en principio, la empresa.
• Titular: Persona natural cuyos datos personales sean objeto de Tratamiento, sea cliente, proveedor, empleado, o cualquier tercero que, en razón de una relación comercial o jurídica, suministre datos personales a la Empresa.
• Transferencia: Se refiere al envío por parte de la Empresa como Responsable del Tratamiento o un Encargado de los datos, a un tercer agente o persona natural/jurídica (receptor), dentro o fuera del territorio nacional para el tratamiento efectivo de datos personales.
•  Trasmisión: se refiere a la comunicación de datos personales por parte del Responsable al Encargado, ubicado dentro o fuera del territorio nacional, para que el Encargado, por cuenta del Responsable, trate datos personales.
•  Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.                                                            

Para el entendimiento de los términos que no se encuentran incluidos dentro del listado anterior, usted deberá remitirse a la legislación vigente, en especial a la Ley 1581 de 2012 y al Decreto 1377 de 2013, dando el sentido utilizado en dicha norma a los términos de cuya definición exista duda alguna.

3. Datos Personales Recolectados Especificamente:

Para la prestación del servicio de firma electrónica y la generación de la Evidencia de Firma (Trazabilidad y Log de Auditoría), Si Firma requiere recolectar y tratar, además de los datos identificativos generales (nombre, correo electrónico, dirección, entre otros), los siguientes datos específicos, que son necesarios para dotar de validez legal al proceso:

• Identificación Digital: Dirección IP del dispositivo utilizado en el momento de la firma.
• Metadatos de Tiempo: Fecha y hora exacta de la finalización del proceso de firma, con indicación de zona horaria.
• Dispositivo y Software: Tipo de dispositivo, sistema operativo, versión de la aplicación o navegador web utilizado.
• Integridad Criptográfica: El “Hash”; (valor criptográfico único) del documento en el preciso momento de la firma, para demostrar que no ha sido alterado [User requirement].
• Datos de Autenticación: Cualquier dato adicional usado en el proceso de verificación de identidad (ej. códigos OTP).

4. Uso y finalidad del Tratamiento:

La Empresa reconoce que el Titular de los datos personales tiene derecho a contar con una expectativa razonable de su privacidad, teniendo en todo caso en cuenta sus responsabilidades, derechos y obligaciones con la Empresa.

En virtud de la relación que se establezca entre usted y la Empresa, éste recolecta, almacena, usa y transfiere datos personales, a compañías localizadas dentro y fuera de Colombia. El Tratamiento de los datos recolectados a través de Si Firma tiene como única finalidad la prestación del servicio de firma electrónica y las siguientes actividades específicas:

• Garantía de la Validez Legal: Crear y conservar la Evidencia de Firma para cumplir con la presunción de autenticidad e integridad del mensaje de datos, tal como lo establece la Ley 527 de 1999.
• Generación de la Trazabilidad: Mantener un registro inalterable (Log de Auditoría) de cada evento de firma para fines probatorios y de seguridad [User requirement, cite: 79].
• Verificación y Autenticación: Realizar procesos de verificación de la identidad del firmante para asegurar la autoría del documento.
• Cumplimiento Legal y Auditoría: Atender requerimientos de autoridades judiciales o administrativas (Superintendencia de Industria y Comercio – SIC, o Fiscalía General de la Nación) y dar soporte a procesos de auditoría externa o interna.

Si usted nos proporciona Datos Personales, ésta información será utilizada sólo para los propósitos aquí señalados, y no procederemos a vender, licenciar, transmitir o divulgar la misma fuera de la Empresa salvo que (i) usted nos autorice expresamente a hacerlo, (ii) sea necesario para permitir a nuestros contratistas o agentes prestar los servicios que les hemos encomendado, (iii) con el fin de proporcionarle nuestros productos o servicios, (iv) sea divulgada a las entidades que prestan servicios de marketing en nuestro nombre o a otras entidades con las cuales tenemos acuerdos de mercadeo conjunto, (v) tenga relación con una fusión, consolidación, adquisición,desinversión u otro proceso de restructuración, o (vi) según sea requerido o permitido por la ley.

De igual forma la Empresa podrá transferir o transmitir (según corresponda) sus datos personales a otras compañías en el extranjero por razones de seguridad, eficiencia administrativa y mejor servicio, de conformidad con las autorizaciones de cada una de estas personas. La Empresa ha adoptado las medidas del caso para que esas compañías implementen en su jurisdicción y de acuerdo a las leyes a ellas aplicables, estándares de seguridad y protección de datos personales siquiera similares a los previstos en este documento y en general en la política de la Empresa sobre la materia.

En el caso de transmisión de datos personales, se suscribirá el contrato de transmisión a que haya lugar en los términos del Decreto 1377/13.
Adicionalmente, le informamos que una vez cese la necesidad de tratamiento de sus datos, los mismos podrán ser eliminados de las bases de datos de la Empresa o archivados en términos seguros a efectos de que solamente sean divulgados cuando a ello hubiere lugar de acuerdo con la ley.

4.1. Finalidades Específicas del Servicio SiFirma;

• Garantía de Validez Jurídica: Recolectar la Evidencia de Firma (Metadatos de Auditoría) para asegurar que la firma electrónica cumple con los requisitos de la Ley 527 de 1999, dotándola de presunción de autenticidad e integridad.
• Generación de la Trazabilidad: Crear y conservar el Log de Auditoría
  inalterable (Registro de la Transacción) que incluye el valor criptográfico único (Hash) del documento, la fecha, la hora y la identificación del firmante.
• Gestión del Servicio: Enviar notificaciones a las partes sobre el estado del documento (pendiente, firmado, completado). Además de las finalidades previamente enunciadas, se incluyen los siguientes aspectos
  en cumplimiento de la ISO/IEC 27001:
• Protección contra amenazas físicas y ambientales: Toda la infraestructura física y lógica donde reposen o transiten datos personales contará con controles de acceso, climatización, respaldo de energía, monitoreo, contingencias y medidas de continuidad del negocio.
• Seguridad en relaciones con proveedores: Los terceros contratistas, encargados o aliados que participen en el tratamiento de datos personales deberán firmar acuerdos de confidencialidad y cumplir requisitos mínimos de seguridad, conforme a los lineamientos establecidos por UFOTECH S.A.S., incluyendo cláusulas contractuales de protección de datos.
• Seguridad de la información en redes: El tratamiento de datos personales que implique el uso de redes públicas o privadas (ej. almacenamiento en la nube, transmisión por correo electrónico, uso de VPN) se hará aplicando protocolos seguros de comunicación y cifrado, garantizando la integridad y confidencialidad de la información.
• Privacidad y protección de datos personales identificables: Los datos personales (PII) serán tratados con enfoque en minimización, limitación de acceso, consentimiento informado, trazabilidad de operaciones y eliminación segura. La Empresa documenta y revisa regularmente los riesgos asociados a la privacidad e implementa medidas apropiadas.

4.2. Uso de Información Agregada/Estadística
Además de las finalidades ya enunciadas, UFOTECH S.A.S. podrá utilizar la información recolectada, excluyendo cualquier Dato Personal Identificable (PII), para:

• Mejora y Optimización del Servicio: Analizar el uso y el rendimiento de la Aplicación Si Firma con el fin de corregir errores, realizar mantenimiento, desarrollar nuevas funcionalidades y mejorar la experiencia general del usuario.
• Estadísticas e Informes: Generar informes internos y externos sobre tendencias de uso, volúmenes de transacción y métricas de desempeño, siempre y cuando esta información se encuentre anonimizada o agregada, de forma que no permita la identificación del Titular.

5. Derechos del Titular

De conformidad con el artículo 8 de la Ley 1581 de 2012, los derechos que como titular le asisten en relación con sus datos personales son:

a. Conocer, actualizar y rectificar sus datos personales frente a la Empresa como los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

b. Solicitar prueba de la autorización otorgada a la Empresa como Responsables del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
c. Ser informado por la Empresa, como responsables del Tratamiento o por el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
d. Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la presente ley y las demás normas que la
modifiquen, adicionen o complementen.
e. Revocar la autorización y/o solicitar la supresión del dato cuando en el
Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
f. Acceder en forma gratuita a sus datos personales que hayan sido objeto de
Tratamiento.

Además, en cumplimiento del principio de transparencia y del control de la ISO/IEC 27001, UFOTECH S.A.S. garantizará que los titulares sean informados de cualquier incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de sus datos personales, dentro de los plazos establecidos por la autoridad de control o por la ley.

Dentro de esta política encontrará el procedimiento a través del cual la Empresa
garantiza el ejercicio de todos sus derechos.

6. Procedimiento para el ejercicio de sus derechos como titular:
Si tiene preguntas acerca de esta Política, o cualquier inquietud o reclamo, o en caso de ejercicio de queja, rectificación, actualización, consulta, o solicitud de acceso o de sustracción de datos, o con respecto a la administración de la Política, comuníquese con nosotros a través de cualquiera de los siguientes medios:

Correo: juridica@ufotech.co
Teléfono: 3002463820

Tenga en cuenta que una vez usted ponga en conocimiento al área responsable al interior de la Empresa, dependiendo de a cuál de ellas vaya dirigida su petición, se dará trámite a la consulta, solicitud o queja.

Podrá consultar al Empresa respecto de los datos personales tenga almacenados en sus bases de datos, para las cuales será necesario que el solicitante o su representante legal acrediten previamente su identidad. Dicha consulta será atendida por la Empresa en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Este plazo podrá ser ampliado por la Empresa en una sola ocasión, en cuyo caso le serán informados los motivos de la demora y la fecha en que se atenderá su solicitud, la cual en ningún caso será superior a cinco (5) días hábiles siguientes al vencimiento del primer término.

Su solicitud o petición relacionada con reclamos, actualizaciones, correcciones, o supresión de sus datos personales deberá ser atendida en un término máximo de quince (15) días hábiles desde el recibo de la solicitud o petición. Para la correcta y completa consideración de su petición, solicitud o reclamo, le solicitamos allegar la identidad del solicitante, su número de identificación, la dirección de notificaciones/respuestas y los documentos que quiere hacer valer.

Si su solicitud o petición no tiene los datos y hechos suficientes que permitan al Empresa atenderla de forma correcta y completa, se le requerirá dentro de los cinco (5) días siguientes a la recepción de la solicitud, petición o reclamo para que subsane sus fallas. Después de transcurridos dos (2) meses desde la fecha del requerimiento, si usted como solicitante no ha subsanado según lo requerido, la Empresa como receptor de su petición entiende que ha desistido de su solicitud.

Todos los procedimientos serán registrados y custodiados conforme a las políticas de trazabilidad de UFOTECH S.A.S., y solo podrán ser accedidos por personal autorizado, en cumplimiento de los controles de acceso lógico y físico.

7. Limitación y Exención de Responsabilidad de UFOTECH S.A.S. (Cadena de Custodia) UFOTECH S.A.S. opera Si Firma como un Proveedor de Servicios de Firma Electrónica, y no como un Sistema de Gestión Documental de Archivo Electrónico. Por lo tanto, la responsabilidad de la conservación del documento y la evidencia de firma se divide de la siguiente manera:

7.1. Responsabilidad de UFOTECH S.A.S. (El Proveedor)
UFOTECH S.A.S. se compromete a garantizar la integridad del documento y la cadena de custodia únicamente sobre la Evidencia de Firma (Metadatos, Hash, y Log de Auditoría) y hasta el envío del documento finalizado a las partes.

Integridad de la Evidencia: UFOTECH S.A.S. garantiza que, mientras el documento esté en su custodia para el proceso de firma, y una vez finalizado, conservará el Log de Auditoría (Evidencia de Firma) que demuestre la autenticidad y no alteración del documento en el momento de la firma.

1. Plazo de Conservación: UFOTECH S.A.S. conservará la Evidencia de Firma
   (Metadatos y Hash) por el tiempo que garantice la validez probatoria de la firma, el cual será definido en el Acuerdo de Nivel de Servicio (SLA) o los Términos y Condiciones de la aplicación, y no estará sujeto al plazo de conservación documental de 10 años.
2. Exención de Responsabilidad: UFOTECH S.A.S. se exonera expresamente de toda responsabilidad por la pérdida, deterioro o alteración del documento firmado que ocurra después de su descarga y/o envío a los firmantes y partes interesadas.
3. Entrega de Metadatos en casos excepcionales: En caso que UFOTECH S.A.S. llegaré a entrar en proceso de liquidación, cambio de objeto social, u otros, lo comunicará al titular/cliente con el objetivo de que este realice la migración de la información a un nuevo proveedor o realice la descarga para mantener la cadena de custodia de la evidencia digital, para tal fin EL CLIENTE designará a un profesional con experiencia en cadena de custodia de evidencia digital o contratará a un proveedor para tal fin, durante el proceso de migración contará con el acompañamiento de UFOTECH S.A.S.

8. Seguridad de la Información y Conservación
En cumplimiento con nuestro compromiso de seguridad bajo la norma ISO/IEC
27001:2022, Si Firma implementa las siguientes medidas para proteger los datos y la evidencia:

• Cifrado: El Tratamiento de datos personales (incluyendo el documento y los metadatos) se realiza aplicando protocolos seguros de comunicación y cifrado.
• Trazabilidad: Todos los procedimientos de acceso y gestión de la Evidencia de Firma son registrados y custodiados, y solo pueden ser accedidos por personal autorizado.
• Minimización y Acceso: La aplicación está diseñada para minimizar la
  recolección de datos personales y limitar el acceso a la información
  estrictamente necesaria.

9. Modificación de esta política

Esta política puede ser modificada en cualquier momento, razón por la cual le
recomendamos revisar regular o periódicamente en nuestra página web, en la que se le avisará del cambio y se pondrá a su disposición la última versión de esta Política o los mecanismos para obtener una copia de esta.

Toda modificación será evaluada por el Comité Estratégico de UFOTECH S.A.S., considerando los impactos en la privacidad y las obligaciones contractuales vigentes. Los cambios serán comunicados a través de los canales digitales oficiales, garantizando su disponibilidad permanente.

Fecha de entrada en vigencia: Noviembre de 2025
Fecha vigencia de la base de datos: La vigencia de la base de datos será el tiempo razonable y necesario para cumplir con las finalidades del tratamiento de la información.