Opita Market

Documento legal · Versión 1.0.0

Política de Tratamiento de Datos Personales (PTD)

Vigente desde el

Política de Tratamiento de Datos Personales de Opita Code, en cumplimiento de la Ley 1581/2012, el Decreto 1377/2013 y la Circular Única de la SIC.

Política de Tratamiento de Datos Personales

Versión 1.0.0 — vigente desde el 26 de junio de 2026

Documento preparado por Opita Code en cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Circular Única de la Superintendencia de Industria y Comercio (SIC) — Título V Habeas Data. Esta política aplica a todos los tratamientos de datos personales realizados dentro del territorio colombiano.

1. Identificación del responsable del tratamiento

CampoValor
Razón socialOpita Code
NIT1007465784
DirecciónNeiva, Huila, Colombia
Correo electrónicoOwner@opitacode.com
Teléfono(Pendiente de constitución — sin línea asignada aún)
Representante legalRepresentante Legal de Opita Code
Oficial de Protección de Datos (DPO)contacto privado disponible bajo solicitud a Owner@opitacode.com

El responsable del tratamiento es la persona jurídica que decide sobre la base de datos y/o el tratamiento de los datos personales. En este caso, Opita Code actúa como responsable del tratamiento de las bases de datos descritas en la sección 6.

La presente política se fundamenta en el siguiente ordenamiento jurídico colombiano:

  • Ley 1581 de 2012 — Régimen General de Protección de Datos Personales.
  • Decreto 1377 de 2013 — Reglamenta parcialmente la Ley 1581/2012.
  • Decreto 886 de 2014 — Registro Nacional de Bases de Datos (RNBD).
  • Circular Única de la SIC — Título V — Habeas Data.
  • Ley 1273 de 2009 — Delitos informáticos (aplica a la seguridad de la información).
  • Ley 527 de 1999 — Comercio electrónico y firma digital.
  • Constitución Política de Colombia, artículos 15 y 20.

Cualquier modificación normativa futura que afecte el régimen de protección de datos personales será incorporada automáticamente a esta política, sin perjuicio de las notificaciones que se realicen conforme a la sección 10.

3. Definiciones

Para efectos de la presente política, se adoptan las siguientes definiciones, conforme al artículo 3 de la Ley 1581/2012:

  • Dato personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
  • Dato público: dato que no es semiprivado, privado ni sensible. Ejemplos: estado civil, profesión, calidad de comerciante.
  • Dato semiprivado: dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas.
  • Dato sensible: dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación. Ejemplos: origen racial, orientación política, datos de salud, datos biométricos.
  • Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como recolección, almacenamiento, uso, circulación o supresión.
  • Titular: persona natural cuyos datos personales son objeto de tratamiento.
  • Responsable: persona natural o jurídica, pública o privada, que decide sobre la base de datos y/o el tratamiento.
  • Encargado: persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del responsable.
  • Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de sus datos personales.

4. Principios rectores

Opita Code aplicará los siguientes principios en todo tratamiento de datos personales, conforme al artículo 4 de la Ley 1581/2012:

  1. Legalidad: el tratamiento se sujetará a lo establecido en la ley y en las demás disposiciones que la desarrollen.
  2. Finalidad: el tratamiento debe obedecer a una finalidad legítima informada al titular.
  3. Libertad: el tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular.
  4. Veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
  5. Transparencia: el titular tiene derecho a obtener información sobre sus datos en cualquier momento.
  6. Acceso y circulación restringida: el tratamiento solo se hará por personas autorizadas por el titular o por personas previstas en la ley.
  7. Seguridad: la información se manejará con las medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado.
  8. Confidencialidad: todas las personas que intervengan en el tratamiento de datos están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con el responsable.

5. Finalidades del tratamiento

Los datos personales recolectados por Opita Code serán tratados para las siguientes finalidades específicas y delimitadas:

5.1 Finalidades para datos del establecimiento (público-comercial)

  • Publicar la ficha comercial del establecimiento en market.opitacode.com (razón social, NIT, dirección, horarios, categoría, fotos y descripción).
  • Facilitar el contacto entre consumidores y establecimientos a través de los canales oficiales del marketplace.
  • Generar estadísticas agregadas y anonimizadas de uso del marketplace.
  • Verificar la identidad del representante legal mediante el NIT+DV ante fuentes públicas (RUES, DIAN).
  • Permitir la gestión administrativa del establecimiento por parte del representante autorizado.
  • Notificar al representante sobre cambios relevantes en el estado de su ficha comercial.
  • Cumplir con obligaciones legales y regulatorias ante autoridades colombianas.

5.3 Finalidades para datos de consumidores (con consentimiento)

  • Procesar consultas, reclamos y solicitudes de derechos del titular.
  • Mejorar la experiencia de navegación mediante analítica agregada (sin identificar al titular).
  • Prevenir fraude y garantizar la seguridad de la plataforma.

Opita Code NO utiliza los datos personales para:

  • Venta o cesión a terceros con fines comerciales.
  • Elaboración de perfiles con fines discriminatorios.
  • Transferencias internacionales sin autorización expresa del titular.

6. Datos recolectados y categorías

Opita Market aplica segregación de esquemas a nivel de base de datos para evitar filtración de datos personales hacia superficies públicas. Las dos categorías son:

6.1 datos_publicos_establecimiento (sin consentimiento)

Datos comerciales del establecimiento verificables en fuentes públicas (RUES, DIAN, Cámara de Comercio):

  • razon_social
  • nit
  • direccion_registrada
  • horarios_publicados
  • categoria
  • fotos
  • descripcion

6.2 datos_personales_representante (requieren consentimiento)

Datos personales del representante legal — solo se almacenan si el titular firma un token de consentimiento explícito:

  • nombre_rep
  • email_rep
  • telefono_rep
  • firma_rep (hash criptográfico)

Aislamiento de esquemas: estos datos residen en un esquema de PostgreSQL físicamente separado (representative_consented) y nunca son retornados por la API pública del marketplace. Toda consulta al esquema público (public_commercial) es rechazada por el guardián de esquemas si intenta leer columnas del esquema personal.

6.3 Datos sensibles

Opita Code NO recolecta datos sensibles (origen racial, orientación política, datos de salud, datos biométricos, etc.). En caso de requerirse en el futuro, se solicitará autorización expresa y se documentará la finalidad específica.

7. Derechos del titular

Conforme al artículo 8 de la Ley 1581/2012, el titular de los datos personales tiene los siguientes derechos:

  1. Conocer, actualizar y rectificar sus datos personales frente a Opita Code. Este derecho se ejerce mediante los canales descritos en la sección 8.
  2. Solicitar prueba de la autorización otorgada a Opita Code, salvo cuando expresamente se exceptúe como en los casos previstos por el artículo 10 de la Ley 1581/2012.
  3. Ser informado, previa solicitud, respecto del uso dado a sus datos personales.
  4. Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581/2012.
  5. Revocar la autorización y/o solicitar la supresión de sus datos cuando:
    • El tratamiento no respete los principios, derechos y garantías constitucionales y legales.
    • Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
  6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, al menos una vez al mes.

8. Procedimiento para ejercer derechos

8.1 Canal oficial

Todas las solicitudes de derechos del titular deben dirigirse a:

  • Correo electrónico: Owner@opitacode.com
  • Asunto sugerido: “Solicitud Habeas Data — [Conocer | Actualizar | Rectificar | Suprimir]“

8.2 Identificación obligatoria

Toda solicitud debe incluir:

  1. NIT del establecimiento y su dígito de verificación (DV).
  2. Tipo de derecho que se ejerce (conocer / actualizar / rectificar / suprimir).
  3. Datos de contacto del titular para recibir la respuesta.
  4. Documento de identidad del representante legal (copia simple).

El NIT+DV será verificado contra fuentes públicas (RUES / DIAN) mediante el proveedor Verifik API. No se dará trámite a solicitudes con identidad no verificable.

8.3 Plazo de respuesta (SLA)

Conforme al artículo 14 de la Ley 1581/2012 y al Decreto 1377/2013, las solicitudes serán atendidas en un plazo máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de recibo de la solicitud completa y verificable. Este plazo podrá ser extendido una sola vez por ocho (8) días hábiles adicionales, previa notificación al titular.

Los días hábiles excluyen sábados, domingos y los 13 festivos colombianos. La lista vigente se publica en la página del DPO.

8.4 Formulario recomendado

Se recomienda usar el formato publicado en market.opitacode.com/legal/ptd#formulario con la firma del titular.

9. Medidas de seguridad

Opita Code aplica las siguientes medidas de seguridad para proteger los datos personales contra acceso no autorizado, pérdida, adulteración o uso indebido:

9.1 Medidas técnicas

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
  • Aislamiento físico de esquemas en PostgreSQL (public_commercial vs representative_consented).
  • Tokens de consentimiento firmados criptográficamente (JWT HS256).
  • Verificación de NIT+DV con caché de 24 horas en DynamoDB.
  • Auditoría inmutable con retención mínima de 5 años (SIC).
  • Respaldo cifrado diario con almacenamiento frío en S3 Glacier (vigencia ≥ 5 años).

9.2 Medidas administrativas

  • Acceso por rol con grupos Cognito (dpo, admin, tenant-owner).
  • Política de mínimo privilegio para todos los accesos al backend.
  • Capacitación obligatoria al personal que trata datos personales.
  • Acuerdos de confidencialidad firmados con todos los encargados.

9.3 Medidas físicas

  • Infraestructura desplegada en AWS con certificación ISO 27001.
  • Acceso restringido a centros de datos con control biométrico.
  • Logs de acceso físico auditados anualmente.

10. Vigencia y modificaciones

10.1 Vigencia

La presente Política de Tratamiento de Datos Personales entra en vigencia a partir del 26 de junio de 2026 y permanecerá vigente mientras Opita Code opere el marketplace market.opitacode.com, salvo modificación posterior conforme a esta sección.

10.2 Procedimiento de modificación

Cualquier modificación sustancial será:

  1. Revisada por el Oficial de Protección de Datos (DPO) y por el asesor jurídico externo.
  2. Aprobada mediante Pull Request que pase el workflow legal-review.yml (requerido: DPO + legal counsel).
  3. Publicada con al menos quince (15) días calendario de anticipación a su entrada en vigencia.
  4. Notificada a los titulares activos mediante correo electrónico y aviso destacado en market.opitacode.com.

10.3 Historial de versiones

VersiónFecha efectivaCambios
1.0.02026-06-26Versión inicial.

Contacto del DPO

  • Correo: Owner@opitacode.com
  • SLA: 15 días hábiles
  • Región: Neiva, Huila, Colombia
  • Autoridad de supervisión: Superintendencia de Industria y Comercio (SIC) — www.sic.gov.co

Esta política también está disponible en formato corto como Aviso de Privacidad.