BORRADOR
Versión 1.0 en revisión jurídica. Los campos entre corchetes están pendientes de definición. Plataforma en fase de pruebas.
Política de Tratamiento de Datos Personales
| Código | CONS-POL-01 |
|---|---|
| Versión | 1.0 (borrador) |
| Fecha de emisión | Junio de 2026 |
| Responsable | [NOMBRE COMPLETO], C.C. [NÚMERO], persona natural comerciante, operando bajo la marca "Consentia" |
| Domicilio | [CIUDAD], Colombia |
| Sitio web | consentia.com.co |
| Canal de contacto | [correo de contacto — por definir] |
Capítulo I — Objeto y alcance
Artículo 1. Objeto
La presente política regula el tratamiento de datos personales que CONSENTIA recolecta, almacena, usa, transmite y suprime en la operación de su plataforma de consentimiento informado y firma electrónica, garantizando los derechos de los titulares y el cumplimiento de la Ley 1581 de 2012 y sus normas reglamentarias.
Artículo 2. Alcance
Aplica a todo tratamiento de datos personales realizado a través de la plataforma Consentia (consentia.com.co), en cualquiera de sus dos modos de operación (consentimiento informado y firma electrónica de documentos), y a los datos de:
- Clientes registrados (en adelante, "Clientes" o "Inscritos"): personas naturales o jurídicas que contratan el servicio.
- Firmantes: personas que aceptan consentimientos o firman documentos por solicitud de un Cliente.
- Representantes legales de firmantes (menores de edad o cualquier persona que actúa a través de representante).
Capítulo II — Marco normativo
Artículo 3. Normativa aplicable
- Constitución Política, artículos 15 (habeas data) y 20.
- Ley 1581 de 2012 — Régimen general de protección de datos personales.
- Decreto 1377 de 2013, compilado en el Decreto 1074 de 2015 (artículos 2.2.2.25.1.1 y siguientes).
- Ley 527 de 1999 — Comercio electrónico, mensajes de datos y firmas.
- Decreto 2364 de 2012 — Firma electrónica.
- Ley 1098 de 2006 — Código de la Infancia y la Adolescencia.
- Circulares y conceptos de la Superintendencia de Industria y Comercio (SIC), autoridad nacional de protección de datos.
En caso de conflicto, se aplica la norma que otorgue mayor protección al titular del dato.
Capítulo III — Definiciones
Artículo 4. Definiciones (Ley 1581/2012, art. 3; Decreto 1074/2015)
- Titular: persona natural cuyos datos son objeto de tratamiento.
- Responsable del tratamiento: quien decide sobre la base de datos y/o el tratamiento de los datos.
- Encargado del tratamiento: quien realiza el tratamiento por cuenta del Responsable.
- Transmisión: tratamiento de datos que implica su comunicación dentro o fuera de Colombia para que el Encargado los trate por cuenta del Responsable.
- Dato sensible: el que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación (salud, origen étnico, orientación sexual, datos biométricos, entre otros).
- Cliente / Inscrito: persona natural o jurídica titular de una cuenta en Consentia.
- Firmante: persona natural que acepta consentimientos o firma documentos a través de un enlace generado por un Cliente.
Capítulo IV — Doble rol de Consentia: segregación de responsabilidades
Artículo 5. Principio de segregación
CONSENTIA actúa bajo dos roles jurídicos distintos y nunca mezclados, según de quién sean los datos:
- Rol 1 — Responsable del tratamiento: respecto de los datos de los CLIENTES (cuenta, identificación, contacto, facturación, configuración). CONSENTIA decide finalidades y medios.
- Rol 2 — Encargado del tratamiento: respecto de los datos de los FIRMANTES. El Cliente que crea la solicitud de consentimiento o firma es el RESPONSABLE (decide qué datos pide, a quién, para qué y qué documento se firma); CONSENTIA solo ejecuta el tratamiento por cuenta del Cliente, conforme al contrato de transmisión de datos incorporado a los Términos de Servicio (Decreto 1074 de 2015, art. 2.2.2.25.5.2).
Artículo 6. Matriz de actividades y responsabilidades
| Actividad | Responsable | Encargado |
|---|---|---|
| Registro y gestión de cuenta del Cliente | Consentia | — |
| Facturación y soporte al Cliente | Consentia | — |
| Definir documento, campos y datos solicitados al firmante | Cliente | — |
| Obtener autorización del firmante para el tratamiento de sus datos | Cliente | Consentia provee el mecanismo |
| Recolección transitoria de datos del firmante durante la sesión | Cliente | Consentia |
| Entrega del código OTP al firmante (verificación de identidad) | Cliente | Consentia (canal neutral) |
| Generación y sellado del PDF firmado | Cliente | Consentia |
| Custodia del documento firmado | Cliente (su nube: Google Drive / Microsoft OneDrive) | — |
| Conservación de evidencia criptográfica (hashes, sin datos personales) | Cliente | Consentia |
| Atención de derechos del firmante sobre sus datos y el documento | Cliente | Consentia da traslado |
| Atención de derechos del Cliente sobre sus propios datos | Consentia | — |
Capítulo V — Categorías de datos y finalidades
Artículo 7. Datos de Clientes (Consentia como Responsable)
Categorías tratadas:
- Identificación: tipo de persona (natural/jurídica), nombres y apellidos, tipo y número de documento (Cédula de Ciudadanía, Cédula de Extranjería, Pasaporte, Permiso Especial de Permanencia, Permiso por Protección Temporal, Tarjeta de Identidad o Número de Identificación Tributaria — NIT), cargo, razón social y NIT cuando es persona jurídica.
- Contacto: correo electrónico, teléfono.
- Cuenta y operación: plan contratado, estado de la cuenta, prefijo de folios, registros de sesiones de la plataforma.
- Credenciales técnicas: tokens OAuth de Google Workspace / Microsoft 365 (cifrados en reposo), identificadores de carpetas y hojas de cálculo del propio Cliente, configuración de WhatsApp Business (cifrada) cuando el Cliente la habilite.
- Verificación: códigos OTP de acceso (almacenados únicamente como hash, nunca en claro).
Finalidades:
- Crear, autenticar y administrar la cuenta del Cliente.
- Prestar el servicio contratado (acceso a su nube y correo — Google Drive, Sheets y Gmail, o Microsoft OneDrive y Outlook — mediante autorización OAuth otorgada por el propio Cliente, exclusivamente para las operaciones del servicio).
- Facturación, cobro y cumplimiento de obligaciones tributarias (DIAN).
- Comunicaciones operativas del servicio.
- Cumplimiento de obligaciones legales y requerimientos de autoridad.
Artículo 8. Datos de Firmantes (Consentia como Encargado, por cuenta del Cliente)
Categorías tratadas — únicamente de forma TRANSITORIA durante la sesión:
- Identificación: nombres, apellidos, tipo y número de documento; datos del representante legal cuando el firmante actúa representado; datos de la persona jurídica cuando aplica.
- Contacto: correo electrónico (entrega del enlace de la solicitud y de la copia del documento firmado) y número de celular (solo para la entrega del código OTP por SMS).
- Valores diligenciados en los campos del documento.
- Evidencia de la firma: dirección IP, agente de usuario (navegador), fecha y hora — capturados del lado del servidor.
Categorías persistentes — sin datos personales:
- Huellas criptográficas (hash SHA-256) individuales por firmante y hash global del documento, folio, estados y fechas de la sesión. Estos valores no permiten reconstruir ni identificar los datos personales.
Finalidades (definidas por el Cliente; Consentia solo las ejecuta):
- Verificar la identidad del firmante mediante código OTP de un solo uso.
- Recoger la aceptación de consentimientos o la firma de documentos.
- Generar el documento firmado con su página de evidencia y entregarlo al Cliente (en la nube del Cliente) y al firmante (copia por correo, enviada desde la cuenta del Cliente).
- Producir y conservar la evidencia criptográfica de integridad y no repudio.
Artículo 9. Datos sensibles y de menores de edad
CONSENTIA no solicita datos sensibles por iniciativa propia. Si un Cliente incluye datos sensibles en sus documentos o formularios, el Cliente, como Responsable, debe obtener la autorización explícita del titular e informarle que no está obligado a suministrarlos (Ley 1581/2012, art. 6). El tratamiento de datos de menores de edad se realiza exclusivamente a través de su representante legal (Ley 1098/2006; Ley 1581/2012, art. 7), mediante el tipo de firmante "representado", que aplica a cualquier persona que firma a través de representante legal, no solo a menores.
Capítulo VI — Principios
Artículo 10. Principios aplicables
El tratamiento se rige por los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad (Ley 1581/2012, art. 4), y además por el principio de minimización por diseño: la arquitectura de la plataforma ("conocimiento cero de contenido") impide técnicamente que CONSENTIA conserve los documentos de los Clientes o los datos personales de los firmantes más allá de la sesión activa.
Capítulo VII — Autorización
Artículo 11. Autorización del Cliente
El Cliente otorga su autorización de manera previa, expresa e informada al registrarse y aceptar los Términos de Servicio y esta política, mediante mecanismo electrónico susceptible de consulta posterior (Ley 1581/2012, art. 9; Decreto 1074/2015). Queda registro de fecha, hora y versión del texto aceptado.
Artículo 12. Autorización del Firmante
La autorización del firmante para el tratamiento de sus datos la obtiene el CLIENTE como Responsable. La plataforma provee el mecanismo: antes de firmar, el firmante ve el aviso de privacidad del portal, los textos de consentimiento definidos por el Cliente, y manifiesta su aceptación de forma expresa (verificación OTP + acción afirmativa), quedando evidencia verificable con fecha, hora, IP y huella criptográfica. El silencio o casillas pre-marcadas nunca constituyen autorización.
Artículo 13. Revocatoria
El titular puede revocar la autorización y solicitar la supresión de sus datos en cualquier momento, salvo que exista un deber legal o contractual que imponga su conservación. La revocatoria de la autorización del Cliente implica la terminación del servicio.
Capítulo VIII — Conservación y supresión (arquitectura de conocimiento cero)
Artículo 14. Regla general
Los datos se conservan solo el tiempo necesario para la finalidad y las obligaciones legales aplicables.
Artículo 15. Plazos específicos
| Dato | Plazo de conservación |
|---|---|
| Datos personales del firmante y valores de campos (sesión transitoria) | Solo durante la sesión activa. Se suprimen automáticamente al sellarse el documento o expirar la sesión (incluidas sesiones parcialmente firmadas). |
| Documentos del Cliente | Nunca se almacenan en Consentia; residen en la nube del Cliente (Google Drive o Microsoft OneDrive). |
| Huellas criptográficas (hash), folio, fechas y estados (sin datos personales) | 10 años desde la firma, como evidencia probatoria (término de prescripción civil). |
| Datos de cuenta del Cliente | Mientras la cuenta esté activa + 5 años para obligaciones legales, contables y fiscales. |
| Tokens OAuth y configuraciones cifradas | Mientras la cuenta esté activa; supresión al desconectar el proveedor o cancelar la cuenta. |
| Códigos OTP (hash) | Minutos (expiración corta) y depuración periódica. |
Artículo 16. Supresión
La supresión procede a solicitud del titular (previa verificación de identidad), al cumplirse los plazos, o al cesar la finalidad, salvo deber legal de conservación. Por diseño, la supresión de los datos personales de los firmantes ocurre de manera automática sin requerir solicitud.
Capítulo IX — Transmisión internacional y proveedores
Artículo 17. Sub-encargados e infraestructura
| Proveedor | Función | Ubicación |
|---|---|---|
| Proveedor de base de datos y backend | Almacenamiento cifrado y funciones del servicio | Estados Unidos / región contratada |
| Proveedor de alojamiento y distribución | Servido del sitio web | Red global |
| API de Gmail (correos de la plataforma) y APIs autorizadas por el propio Cliente (Drive, Sheets, Gmail del Cliente) | Estados Unidos / global | |
| Microsoft | APIs autorizadas por el propio Cliente (OneDrive, Outlook) cuando el Cliente conecta Microsoft 365 | Estados Unidos / global |
| Agregador de SMS | Entrega del código OTP al celular del firmante | Colombia |
Artículo 18. Garantías
La transmisión de datos a estos proveedores se ampara en los contratos de tratamiento de datos (DPA) suscritos con cada uno, que imponen obligaciones de seguridad, confidencialidad y restricción de uso conforme al artículo 2.2.2.25.5.2 del Decreto 1074 de 2015. CONSENTIA mantiene un registro interno con la lista nominal de estos sub-encargados, lo actualiza cuando cambia un proveedor y lo entrega al Cliente que lo solicite.
Capítulo X — Medidas de seguridad
Artículo 19. Medidas técnicas implementadas
- Cifrado en tránsito (HTTPS/TLS) en todos los canales.
- Cifrado en reposo de credenciales OAuth y configuraciones de canal.
- Códigos OTP almacenados únicamente como hash con llave dedicada; expiración corta y límite de intentos.
- Aislamiento multi-tenant mediante políticas de seguridad a nivel de fila en la base de datos; los tokens de acceso de firmantes están además protegidos a nivel de columna frente al propio Cliente.
- Cada firmante solo puede acceder a su propia porción de datos; nunca a la de sus co-firmantes.
- Evidencia (IP, agente de usuario, fecha) capturada del lado del servidor, no manipulable por el cliente o el firmante.
- Sellado criptográfico del documento: hash individual por firmante y hash global, impresos en la página de evidencia y los márgenes del documento.
- Purga automática de datos transitorios al sellar o expirar sesiones.
Artículo 20. Gestión de incidentes
Ante un incidente de seguridad que afecte datos personales, CONSENTIA: contiene y evalúa el incidente, lo documenta, notifica a los Clientes afectados (Responsables), reporta a la SIC cuando la normativa lo exija, y aplica correctivos. Los registros de incidentes se conservan 10 años.
Capítulo XI — Derechos de los titulares y procedimiento
Artículo 21. Derechos
Todo titular puede: conocer, actualizar y rectificar sus datos; solicitar prueba de la autorización; ser informado del uso dado a sus datos; presentar quejas ante la SIC; revocar la autorización y solicitar la supresión cuando proceda; acceder gratuitamente a sus datos (Ley 1581/2012, art. 8).
Artículo 22. Canal y plazos
- Canal: [correo de contacto — por definir] — asunto "Habeas Data".
- Consultas: respuesta en máximo 10 días hábiles, prorrogables por 5 más con aviso al titular (Ley 1581/2012, art. 14).
- Reclamos: respuesta en máximo 15 días hábiles, prorrogables por 8 más con aviso al titular (Ley 1581/2012, art. 15).
- Se verifica razonablemente la identidad del solicitante. Toda solicitud y su respuesta quedan registradas.
Artículo 23. Solicitudes de firmantes
Cuando un firmante ejerza derechos sobre datos contenidos en un documento firmado o sobre el tratamiento decidido por un Cliente, CONSENTIA — que no conserva esos datos — dará traslado de la solicitud al Cliente Responsable dentro de los 2 días hábiles siguientes e informará al titular, sin perjuicio de atender directamente lo relativo a la evidencia criptográfica que CONSENTIA custodia (la cual no contiene datos personales).
Capítulo XII — Vigencia
Artículo 24. Vigencia de la política y de las bases de datos
Esta política rige desde su publicación en consentia.com.co y permanece vigente mientras se realice tratamiento de datos. Las bases de datos se mantienen vigentes mientras sean necesarias para las finalidades descritas y los plazos del Capítulo VIII.
Artículo 25. Actualización
Revisión ordinaria anual; extraordinaria ante cambios normativos, de proveedores o de arquitectura. Los cambios sustanciales se comunican a los Clientes antes de su entrada en vigor.
Documento relacionado: Términos de Servicio (CONS-TER-01)