Habeas Data · Ley 1581 de 2012

Política de Tratamiento de Datos Personales

1. Identificación del Responsable

GRC Software (en adelante, "GRC Software", "la Plataforma" o "nosotros") es el Responsable del Tratamiento de los datos personales que recopila a través de su sitio web grcias.com y de su aplicación SaaS app.grcias.com, conforme a los siguientes datos de identificación:

• Nombre comercial: GRC Software
• Domicilio principal: Bogotá D.C., Colombia
• Correo de contacto para asuntos de protección de datos: privacy@grcias.com
• Sitio web: https://grcias.com

Para los datos personales de terceros (clientes, proveedores, empleados u otras contrapartes) que un Suscriptor cargue en la Plataforma en ejercicio de su propia actividad de cumplimiento, GRC Software actúa como Encargado del Tratamiento; el Suscriptor conserva siempre la condición de Responsable del Tratamiento de esa información, conforme al Acuerdo de Tratamiento de Datos incorporado a los Términos y Condiciones.

2. Marco legal y definiciones

Esta Política se fundamenta en, entre otras, las siguientes normas:

• Constitución Política de Colombia, artículo 15.
• Ley Estatutaria 1581 de 2012.
• Decreto 1377 de 2013.
• Decreto Único Reglamentario 1074 de 2015.
• Circular Externa 002 de 2015 de la SIC (medidas de seguridad).
• Circular Externa 005 de 2017 de la SIC (Oficial de Protección de Datos).
• Circular Externa 003 de 2018 de la SIC (transferencia internacional).
• Demás normas concordantes y modificatorias.

Para efectos interpretativos se acogen las definiciones del artículo 3 de la Ley 1581/2012 y del artículo 3 del Decreto 1377/2013, en particular: Titular, Responsable, Encargado, Tratamiento, Autorización, Dato Sensible, Transferencia y Transmisión.

3. Alcance y aplicabilidad

Esta Política aplica a:

• Visitantes del sitio web grcias.com que diligencien formularios o agenden reuniones.
• Suscriptores y usuarios autorizados de la Plataforma app.grcias.com, independientemente del plan contratado.
• Cualquier persona natural cuya información sea tratada por GRC Software en su calidad de Responsable del Tratamiento.

4. Datos personales tratados

GRC Software puede tratar las siguientes categorías de datos:

4.1 Datos de identificación y contacto

• Nombres y apellidos.
• Correo electrónico corporativo o personal.
• Teléfono y/o celular.
• Cargo, empresa, ciudad y país.

4.2 Datos de cuenta y autenticación

• Identificador único de usuario, rol y permisos asignados dentro del Suscriptor.
• Hash de contraseña (nunca contraseña en texto plano), códigos MFA cifrados.
• Marcas temporales de inicio de sesión, dirección IP y agente de usuario.

4.3 Datos de uso y registro de auditoría

• Registros de actividad dentro de la Plataforma (audit log con cadena de hash).
• Páginas consultadas, acciones realizadas, tiempos y contexto técnico.

4.4 Datos de facturación

• Razón social, NIT o equivalente y datos para emisión de factura. La información de tarjeta o instrumento de pago es procesada directamente por nuestra pasarela de pagos certificada PCI-DSS; GRC Software no almacena números completos de tarjeta.

4.5 Datos cargados por el Suscriptor (en calidad de Encargado)

• Datos de las contrapartes del Suscriptor (clientes, proveedores, empleados, socios) cargados a la Plataforma para la gestión de KYC, segmentación, monitoreo y reportes.
• Documentos, evidencias y cualquier dato necesario para la operación del sistema de cumplimiento del Suscriptor.

5. Finalidades del tratamiento

Los datos personales se tratan con las siguientes finalidades:

1. Prestación del servicio: habilitar el uso de la Plataforma por parte de los Suscriptores y sus usuarios.
2. Gestión comercial: atención de solicitudes de demostración, agenda de reuniones, envío de propuestas y seguimiento de prospectos.
3. Comunicaciones operativas: notificaciones de servicio, soporte técnico, alertas de seguridad y avisos regulatorios.
4. Comunicaciones comerciales: envío de información sobre productos, servicios, contenidos educativos y eventos, siempre que medie autorización previa, expresa e informada del Titular.
5. Mejora del producto: análisis estadístico agregado y anonimizado para mejorar funcionalidades, estabilidad y experiencia de uso.
6. Seguridad y prevención de fraude: detección de accesos sospechosos, integridad de auditoría y respuesta a incidentes.
7. Cumplimiento legal: atención de requerimientos de autoridades competentes y conservación de información para fines regulatorios.
8. Gestión contable y tributaria: emisión de facturas, reportes tributarios y ejercicio del derecho de repetición.

Para los datos cargados por el Suscriptor en calidad de Encargado, las finalidades son exclusivamente las instruidas por el Suscriptor en su propia política de tratamiento y dentro de los límites del DPA.

6. Datos sensibles y datos de niños, niñas y adolescentes

GRC Software no solicita datos sensibles (artículo 5 Ley 1581/2012) en sus formularios comerciales ni para el registro de usuarios. En el evento en que un Suscriptor cargue datos sensibles de sus contrapartes en la Plataforma (por ejemplo, en el ámbito de declaraciones de PEP, datos biométricos derivados de validación de identidad, o documentos que contengan dichos datos), el Suscriptor declara contar con la autorización previa, expresa e informada del Titular y asume la responsabilidad como Responsable del Tratamiento.

GRC Software no dirige sus servicios a niños, niñas o adolescentes. Cuando, en el desarrollo de un sistema de cumplimiento, sea necesario tratar datos de menores, el Suscriptor garantizará el respeto del interés superior y el cumplimiento del artículo 7 de la Ley 1581/2012.

7. Derechos del Titular

De acuerdo con el artículo 8 de la Ley 1581/2012 y demás normas aplicables, el Titular de los datos tiene derecho a:

1. Conocer, actualizar y rectificar sus datos frente al Responsable o Encargado.
2. Solicitar prueba de la autorización otorgada para el tratamiento.
3. Ser informado respecto del uso que se le ha dado a sus datos personales.
4. Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley.
5. Revocar la autorización y/o solicitar la supresión del dato cuando no se respeten los principios, derechos y garantías constitucionales y legales.
6. Acceder en forma gratuita a los datos que hayan sido objeto de tratamiento.
7. Solicitar la portabilidad de sus datos en los términos previstos por la regulación aplicable.
8. Oponerse al tratamiento de sus datos para fines de mercadeo directo, cuando este se base en interés legítimo.

8. Procedimientos y plazos

8.1 Canales para ejercer los derechos

• Correo electrónico: privacy@grcias.com
• Formulario de contacto: grcias.com/contact

8.2 Información mínima de la solicitud

Para tramitar consultas y reclamos, el Titular o quien acredite legítima representación deberá indicar:

1. Nombre completo, número de documento y datos de contacto.
2. Descripción concreta de los hechos y la pretensión (consulta, actualización, rectificación, supresión, revocación o queja).
3. Documentos que sustenten la solicitud y, cuando aplique, prueba de representación.
4. Dirección física o electrónica para notificación de la respuesta.

8.3 Plazos de respuesta

• Consultas (Art. 14 Ley 1581/2012): diez (10) días hábiles contados a partir del día siguiente al recibo. En caso de imposibilidad, se informará al interesado y la respuesta se brindará dentro de los cinco (5) días hábiles siguientes al vencimiento del primer término.
• Reclamos (Art. 15 Ley 1581/2012): quince (15) días hábiles contados a partir del día siguiente al recibo. Si no fuere posible, se informará al interesado antes del vencimiento del término y se atenderá dentro de los ocho (8) días hábiles siguientes al vencimiento del primer término.

Si la solicitud está incompleta, dentro de los cinco (5) días siguientes a la recepción se requerirá al interesado para subsanarla. Pasados dos (2) meses sin respuesta del Titular se entenderá desistida.

9. Encargados y subencargados

Para la prestación del servicio, GRC Software se apoya en proveedores tecnológicos y operativos que actúan como Encargados o subencargados del tratamiento, con cláusulas contractuales suficientes y bajo principios de seguridad y confidencialidad equivalentes a los aquí establecidos. Categorías representativas:

• Infraestructura cloud y CDN.
• Bases de datos administradas.
• Servicios de envío transaccional de correo electrónico.
• Pasarela de pagos certificada PCI-DSS.
• Plataformas de analítica de producto y observabilidad.
• Proveedores de listas restrictivas y de validación de identidad.

La lista vigente y detallada de subencargados está disponible bajo solicitud al correo privacy@grcias.com. Cualquier alta o cambio material será comunicado a los Suscriptores con antelación razonable.

10. Transferencias internacionales

La infraestructura técnica de GRC Software opera principalmente en centros de datos ubicados en los Estados Unidos de América. En consecuencia, el tratamiento puede implicar transferencia o transmisión internacional de datos personales hacia jurisdicciones distintas a Colombia.

Para todas las transferencias internacionales, GRC Software:

• Verifica que el país de destino ofrezca niveles adecuados de protección, conforme a la Circular Externa 003 de 2018 de la SIC, o
• Suscribe cláusulas contractuales que garanticen estándares equivalentes a los previstos por la legislación colombiana, o
• Obtiene autorización expresa e inequívoca del Titular cuando aplique.

11. Medidas de seguridad

De conformidad con la Circular Externa 002 de 2015 de la SIC y mejores prácticas internacionales, GRC Software adopta medidas administrativas, técnicas y físicas razonables, entre otras:

• Cifrado en tránsito mediante TLS 1.2 o superior.
• Cifrado en reposo mediante AES-256.
• Aislamiento multi-empresa con Row-Level Security a nivel de base de datos.
• Autenticación multi-factor obligatoria para administradores.
• Control de acceso basado en roles (RBAC) granular por recurso y acción.
• Registro inmutable de auditoría con cadena de hash.
• Copias de respaldo cifradas con plan de recuperación documentado.
• Procedimiento formal de gestión de incidentes y plan de continuidad.
• Pruebas de seguridad y análisis de vulnerabilidades periódicos.

Detalles adicionales se encuentran disponibles en grcias.com/security.

12. Conservación y supresión

Los datos personales se conservarán mientras dure la relación contractual con el Suscriptor o el Titular. Posteriormente, se conservarán por los plazos de obligaciones contables, tributarias, comerciales y, cuando aplique, para fines de cumplimiento regulatorio AML/LAFT. Vencidos dichos términos, los datos se eliminan de forma segura o se anonimizan irreversiblemente.

Los registros de auditoría se conservan por el término mínimo legal aplicable, sin perjuicio de su conservación adicional en caso de investigación o requerimiento de autoridad competente.

13. Oficial de Protección de Datos

GRC Software ha designado un Oficial de Protección de Datos conforme a la Circular Externa 005 de 2017 de la SIC. Toda comunicación, consulta o reclamo en materia de protección de datos personales debe dirigirse a: privacy@grcias.com.

14. Modificaciones y vigencia

GRC Software podrá actualizar esta Política en cualquier momento. Cualquier cambio material será informado a los Titulares mediante publicación en grcias.com/privacy y, cuando corresponda, mediante comunicación al correo electrónico registrado, con al menos treinta (30) días calendario de antelación a su entrada en vigencia. La fecha de la última actualización aparece al inicio de este documento.

Para conocer un resumen ejecutivo de esta Política diríjase al Aviso de Privacidad. Para los términos del servicio consulte los Términos y Condiciones.