Aviso de Privacidad
Aviso de privacidad de Faro Innovación y Estrategia SAS (FaroNova) expedido en cumplimiento de la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.
1. Responsable del Tratamiento
El presente Aviso de Privacidad constituye la Política de Tratamiento de la Información de FaroNova conforme al Decreto 1074 de 2015.
• Razón social: Faro Innovación y Estrategia SAS
• Nombre comercial: FaroNova
• NIT: Pendiente de constitución formal (*).
• Domicilio: Bogotá D.C., Colombia
• Sitio web: faronova.co
• Correo de privacidad: privacidad@faronova.co
• Correo de contacto: contacto@faronova.co
• WhatsApp: +57 317 378 4220
• Área responsable del tratamiento: Dirección General.
(*) Faro Innovación y Estrategia SAS se encuentra actualmente en proceso de constitución formal ante la Cámara de Comercio de Bogotá. El NIT será incorporado a este documento una vez se complete dicho proceso. Asimismo, al completar la constitución formal, se evaluará la obligación de registro ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio conforme a los criterios establecidos por dicha entidad.
2. Marco Legal
El presente Aviso de Privacidad se expide en cumplimiento de:
• Constitución Política de Colombia, Artículo 15 — Derecho a la intimidad, al buen nombre y al hábeas data.
• Ley Estatutaria 1581 de 2012 — Régimen General de Protección de Datos Personales.
• Ley 1266 de 2008 — Disposiciones generales del hábeas data y manejo de información contenida en bases de datos personales, en especial la financiera, crediticia, comercial y de servicios.
• Decreto 1377 de 2013 — Decreto Reglamentario de la Ley 1581 de 2012.
• Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio, Industria y Turismo (Título 26, Capítulo 25).
• Demás normas concordantes vigentes en la República de Colombia.
El tratamiento de datos personales por parte de FaroNova obedece a una finalidad legítima de conformidad con la Constitución y la ley, conforme al principio de finalidad establecido en el artículo 4, literal b) de la Ley 1581 de 2012.
3. Datos Personales que Recopilamos
FaroNova recopila y trata las siguientes categorías de datos personales. Conforme al artículo 3 de la Ley 1581 de 2012, los datos personales pueden ser públicos, semiprivados, privados o sensibles.
3.1. Datos de Registro y Cuenta (datos semiprivados)
Finalidad: Crear y gestionar la cuenta del Usuario, prestar los Servicios contratados y brindar soporte técnico.
• Nombre completo.
• Correo electrónico corporativo.
• Nombre de la organización.
• Cargo o rol dentro de la organización.
• Contraseña (almacenada de forma encriptada mediante AWS Cognito).
3.2. Datos de Autenticación (datos privados)
Finalidad: Autenticar al Usuario, gestionar el control de acceso y garantizar la seguridad de la cuenta.
• Tokens de sesión (gestionados por AWS Cognito).
• Información de inicio de sesión (fecha, hora, dirección IP).
• Rol y permisos dentro de la plataforma.
Nota sobre roles de tratamiento:
FaroNova actúa como responsable del tratamiento respecto de los datos de registro, autenticación, facturación, soporte, contacto y navegación del sitio web. Respecto de los datos personales contenidos en archivos, consultas, proyectos o documentos cargados por clientes corporativos para su propio uso, el cliente actúa como responsable y FaroNova como encargado del tratamiento, actuando únicamente bajo instrucciones del cliente y para la prestación del Servicio.
3.3. Datos Generados por el Uso del Servicio
• Conversaciones con el Asistente Conversacional: las consultas realizadas al Asistente Conversacional son procesadas en tiempo real por Amazon Bedrock y eliminadas inmediatamente después de generar la respuesta (política de Zero Data Retention). FaroNova no almacena, accede ni revisa el contenido de estas conversaciones en el curso ordinario de la prestación del Servicio.
• Archivos subidos: los documentos que el Usuario carga a la plataforma se almacenan encriptados con AES-256 en Amazon S3 (encriptación server-side, llaves administradas por AWS). Solo el Usuario, a través de su cuenta autenticada, puede acceder a su contenido. FaroNova no accede al contenido de estos archivos en el curso ordinario de la prestación del Servicio.
3.4. Datos de Facturación (datos semiprivados — sujetos a Ley 1266 de 2008)
Finalidad: Emitir facturación y cumplir con obligaciones tributarias colombianas.
• Información de facturación (razón social, NIT o documento de identidad, dirección fiscal).
• Historial de facturas emitidas.
La facturación se gestiona mediante facturación electrónica conforme a la normatividad colombiana. FaroNova no almacena ni procesa datos de tarjetas de crédito, débito ni ningún otro instrumento de pago electrónico en sus sistemas. En caso de que FaroNova implemente en el futuro un sistema de pagos electrónicos, los datos de pago serán procesados por un proveedor de servicios de pago certificado PCI-DSS, y este Aviso será actualizado conforme al procedimiento de modificación establecido en el numeral 13.
Estos datos se conservan conforme a las obligaciones tributarias colombianas (mínimo 5 años, Art. 632 del Estatuto Tributario) y se tratan conforme a la Ley 1266 de 2008 en lo que resulte aplicable.
3.5. Datos de Uso (datos pseudonimizados de forma irreversible)
Finalidad: Mejorar los Servicios mediante análisis estadístico.
FaroNova recopila estadísticas sobre el uso de los Servicios. Antes de almacenarlas, los identificadores de usuario se pseudonimizan de forma irreversible mediante una función hash criptográfica unidireccional (SHA-256 con salt fijo), de modo que no es posible recuperar la identidad del Usuario. Estas estadísticas pueden incluir frecuencia de uso, módulos más consultados, volumen general de consultas, patrones de navegación y tiempos de sesión.
Los reportes administrativos agregan las estadísticas a nivel de empresa, no de usuario individual. Los datos de analytics se retienen por un máximo de noventa (90) días y se eliminan automáticamente al vencer dicho plazo. Al eliminarse la cuenta del Usuario, todos los registros de analytics asociados se purgan irreversiblemente.
3.6. Datos de Comunicación (datos semiprivados)
Finalidad: Atender solicitudes de soporte, gestionar retroalimentación y dar trámite a solicitudes de ejercicio de derechos.
• Correos electrónicos intercambiados con el equipo de soporte.
• Retroalimentación proporcionada sobre los Servicios. Al enviar retroalimentación a través de la plataforma, el contenido del mensaje y la dirección de correo electrónico del Usuario podrán ser compartidos con el equipo interno de FaroNova mediante notificaciones por correo electrónico, con el fin de gestionar y dar seguimiento a la retroalimentación recibida.
• Solicitudes de ejercicio de derechos.
3.7. Datos Sensibles
FaroNova no solicita, recopila ni requiere datos sensibles conforme al artículo 5 de la Ley 1581 de 2012 (datos relativos a la salud, orientación sexual, origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, pertenencia a sindicatos u organizaciones sociales, datos biométricos o datos genéticos) para la prestación de sus Servicios.
El Usuario debe abstenerse de incluir datos sensibles propios o de terceros en sus consultas, archivos o proyectos. En caso de hacerlo, el Usuario será el único responsable del tratamiento de dichos datos y deberá contar con la autorización expresa del titular conforme al artículo 6 de la Ley 1581 de 2012.
4. Finalidades del Tratamiento
4.1. Finalidades Necesarias (ejecución del contrato)
• Crear y gestionar la cuenta del Usuario.
• Prestar los Servicios contratados (FaroMonitor, FaroPlanning).
• Autenticar al Usuario y gestionar el control de acceso.
• Procesar los pagos y emitir la facturación correspondiente.
• Brindar soporte técnico y atención al cliente.
4.2. Finalidades Legítimas (mejora del servicio)
• Mejorar los Servicios mediante el análisis de estadísticas agregadas y anonimizadas de uso.
• Garantizar la seguridad e integridad de la plataforma.
• Detectar y prevenir actividades fraudulentas o no autorizadas.
4.3. Finalidades Informativas (con consentimiento)
• Enviar comunicaciones sobre actualizaciones, nuevas funcionalidades y alertas de seguridad del servicio.
• Enviar información comercial sobre otros productos o servicios de FaroNova.
El Usuario podrá revocar su consentimiento para las finalidades informativas en cualquier momento, sin que ello afecte la prestación de los Servicios.
5. Base Legal del Tratamiento
FaroNova tratará los datos personales con autorización previa, expresa e informada del titular, conforme al artículo 9 de la Ley 1581 de 2012.
La autorización para el tratamiento de datos personales será solicitada mediante un mecanismo previo, expreso e informado, separado de la mera aceptación de los Términos y Condiciones. FaroNova conservará prueba de la autorización cuando esta sea exigible.
La autorización solicitada incluirá de manera expresa e inequívoca:
• La autorización para el tratamiento de datos personales conforme a las finalidades descritas en este Aviso (obligatoria para usar los Servicios).
• La autorización para cookies de analítica y estadísticas de uso anonimizadas (opcional, mediante opt-in separado durante el registro y modificable en cualquier momento desde Configuración > Derechos de datos).
• La autorización para recibir comunicaciones comerciales e informativas (opcional, mediante opt-in separado durante el registro y revocable en cualquier momento).
• La autorización expresa para la transmisión internacional de datos personales a los Estados Unidos de América, donde se encuentran los servidores de los proveedores de infraestructura de FaroNova (Amazon Web Services, Google LLC y Functional Software, Inc.), conforme al artículo 26 de la Ley 1581 de 2012, literal a) (autorización expresa e inequívoca del titular para la transferencia).
Las categorías obligatorias (tratamiento de datos personales, transmisión internacional) podrán presentarse de forma agrupada en un único mecanismo de autorización, siempre que este haga referencia explícita a los documentos legales que detallan cada finalidad y alcance. Las categorías opcionales (analítica, comunicaciones comerciales) se presentarán siempre mediante opt-in individual y separado.
El titular podrá negar o revocar esta autorización en cualquier momento. En caso de que el titular no autorice la transmisión internacional de datos, FaroNova no podrá prestar los Servicios, dado que estos dependen de infraestructura ubicada fuera de Colombia.
En los siguientes casos, FaroNova podrá tratar datos sin autorización del titular, conforme al artículo 10 de la Ley 1581 de 2012:
• Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales.
• Datos de naturaleza pública.
• Casos de urgencia médica o sanitaria.
• Tratamiento autorizado por la ley para fines históricos, estadísticos o científicos.
• Datos relacionados con el Registro Civil de las Personas.
7. Transferencias Internacionales de Datos
Los datos personales recopilados por FaroNova se almacenan y procesan en servidores ubicados en los Estados Unidos de América (región us-east-1, Virginia), operados por Amazon Web Services, Inc.
Conforme al Decreto 1074 de 2015, FaroNova distingue entre transmisión internacional (envío de datos a un encargado del tratamiento) y transferencia internacional (envío de datos a otro responsable del tratamiento). Los flujos de datos hacia los proveedores de infraestructura de FaroNova constituyen transmisiones internacionales, para las cuales FaroNova ha celebrado los contratos correspondientes conforme al artículo 2.2.2.25.5.2 del Decreto 1074 de 2015.
Detalle de las transmisiones y transferencias:
• Amazon Web Services (AWS) — Estados Unidos (us-east-1, Virginia) — Transmisión internacional (encargado). Infraestructura cloud, almacenamiento, autenticación (Cognito). Encriptación AES-256 server-side, llaves administradas por AWS. AWS cuenta con certificaciones SOC 2, ISO 27001, ISO 27018.
• Amazon Bedrock (Anthropic Claude) — Estados Unidos — Transmisión internacional (encargado). Procesamiento de funcionalidades de IA en FaroMonitor y FaroPlanning. Zero Data Retention: los datos del Usuario se procesan y eliminan inmediatamente. No se almacenan. No se usan para entrenar modelos de IA.
• Anthropic (API directa) — Estados Unidos — Transmisión internacional (encargado). (1) Procesamiento de funcionalidades de IA en FaroMonitor y FaroPlanning. Zero Data Retention: las consultas y respuestas se procesan y eliminan inmediatamente. No se usan para entrenar modelos de IA. (2) Enriquecimiento IA de documentos legales públicos (regulación oficial de fuentes gubernamentales) en FaroMonitor. No involucra datos de clientes.
• Sentry (Functional Software, Inc.) — Estados Unidos — Transmisión internacional (encargado). Monitoreo de errores técnicos en el sitio web faronova.co. Los datos recopilados son de naturaleza técnica y no incluyen información personal identificable.
• Google LLC — Estados Unidos — Transmisión internacional (encargado). (1) Google Analytics en el sitio web faronova.co (datos de navegación anonimizados). (2) Google Vertex AI para la generación de imágenes ilustrativas en FaroPlanning (prompts descriptivos de escenarios, sin datos personales identificables). Google opera bajo términos empresariales que prohíben el uso de datos de clientes para entrenar modelos de IA.
Las transmisiones internacionales de datos se realizan al amparo del artículo 26, literal a) de la Ley 1581 de 2012 (autorización expresa e inequívoca del titular) y conforme a los contratos de transmisión celebrados con cada encargado según el artículo 2.2.2.25.5.2 del Decreto 1074 de 2015. FaroNova informa que los Estados Unidos de América no se encuentran en la lista de países con nivel adecuado de protección de datos emitida por la Superintendencia de Industria y Comercio, razón por la cual la transmisión se fundamenta en la autorización expresa del titular.
8. Encargados del Tratamiento
• Amazon Web Services, Inc. — Infraestructura cloud, almacenamiento, autenticación, inteligencia artificial — Datos tratados: datos de cuenta, archivos encriptados, consultas de IA (sin retención).
• Google LLC — Analítica web y generación de imágenes con IA — Datos tratados: (1) datos de navegación anonimizados en faronova.co (Google Analytics); (2) prompts descriptivos de escenarios de planificación para generación de imágenes ilustrativas en FaroPlanning (Google Vertex AI). No se transmiten datos personales identificables del Usuario en las solicitudes de generación de imágenes.
• Functional Software, Inc. (Sentry) — Monitoreo de errores técnicos — Datos tratados: datos técnicos de rendimiento y errores (solo sitio web faronova.co). No incluye información personal identificable.
FaroNova ha suscrito acuerdos de tratamiento de datos con cada encargado, exigiendo el cumplimiento de estándares de seguridad equivalentes o superiores a los establecidos en la Ley 1581 de 2012.
Proveedores de servicios operativos: Adicionalmente, FaroNova podrá utilizar proveedores de servicios operativos (tales como servicios de extracción de texto, infraestructura de acceso web u optimización de contenido) que procesan exclusivamente información de carácter público o datos operativos del Servicio, sin acceso a datos personales de los Usuarios. Estos proveedores no son considerados Encargados del Tratamiento conforme al artículo 25 del Decreto 1074 de 2015, dado que no tratan datos personales. FaroNova evalúa periódicamente que dichos proveedores mantengan prácticas de seguridad adecuadas.
9. Retención de Datos
• Conversaciones con el Asistente Conversacional — Cero (0). Zero Data Retention. Se eliminan inmediatamente después de procesarse.
• Archivos subidos por el Usuario — Mientras el Usuario los mantenga en la plataforma. El Usuario puede eliminarlos en cualquier momento.
• Datos de cuenta (nombre, email, organización) — Mientras la cuenta esté activa y durante el periodo de exportación post-terminación establecido en el numeral anterior.
• Datos de facturación — Según las obligaciones tributarias colombianas (mínimo 5 años conforme al Art. 632 del Estatuto Tributario).
• Estadísticas de uso pseudonimizadas — Mientras el Usuario mantenga cuenta activa con consentimiento de analytics vigente. Los identificadores almacenados son hashes irreversibles que no permiten identificar al Usuario. Cada Servicio puede aplicar ciclos de limpieza automática más cortos (por ejemplo, eliminación de eventos individuales a los 30 días y de datos agregados a los 90 días). La totalidad de los datos de analytics se elimina al revocar el consentimiento de analytics o al eliminar la cuenta.
• Registros de onboarding incompleto — Los registros de usuarios que no completaron el proceso de registro (ya sea porque solo existe la cuenta en el sistema de autenticación sin perfil, o porque el perfil existe pero el onboarding no se completó) se retienen durante un máximo de sesenta (60) días desde la fecha de creación de la cuenta, o treinta (30) días desde la última actividad detectada, lo que ocurra primero. Vencido dicho plazo, se elimina el perfil, los datos de analytics asociados y la cuenta del sistema de autenticación. Esta información es de carácter operativo y administrativo, no constituye analítica ni se incluye en reportes estadísticos.
• Datos post-terminación — Salvo que el acuerdo comercial aplicable disponga un plazo distinto, los datos y archivos permanecerán disponibles para exportación durante treinta (30) días calendario posteriores a la terminación. Vencido dicho plazo, se eliminan permanentemente de todos los sistemas, incluyendo los registros de analytics, sesiones, uso de chat y cuenta de autenticación asociados al Usuario. Las excepciones son: (a) un registro de auditoría legal mínimo que no contiene contenido del Usuario, correo electrónico ni información personal identificable, retenido exclusivamente para cumplimiento legal con un periodo de expiración definido; y (b) copias de respaldo encriptadas de la infraestructura de autenticación, retenidas por un periodo limitado conforme a las prácticas de recuperación ante desastres y eliminadas automáticamente al vencer su ciclo de retención.
10. Derechos del Titular
Conforme al artículo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos:
• Conocer, actualizar y rectificar sus datos personales frente a FaroNova en su condición de responsable del tratamiento.
• Solicitar prueba de la autorización otorgada a FaroNova para el tratamiento de sus datos.
• Ser informado por FaroNova, previa solicitud, respecto del uso que le ha dado a sus datos personales.
• Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012.
• Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
• Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento. Este derecho podrá ejercerse al menos una vez cada mes calendario sin costo alguno.
Adicionalmente, como beneficio contractual, FaroNova ofrece:
• Portabilidad: Solicitar la entrega de sus datos en un formato estructurado, de uso común y lectura mecánica.
Los derechos previstos en este numeral podrán ser ejercidos por el titular, sus causahabientes, su representante y/o apoderado debidamente acreditado, o por estipulación a favor de otro.
10.1. Procedimiento para Ejercer sus Derechos
El titular deberá enviar su solicitud a privacidad@faronova.co indicando: nombre completo y documento de identidad, descripción del derecho que desea ejercer, datos de contacto para la respuesta, y documentos que soporten la solicitud (si aplica). Alternativamente, podrá utilizar el formulario de solicitud de derechos disponible en la Plataforma. Si el reclamo está incompleto, FaroNova requerirá al titular la subsanación dentro de los cinco (5) días hábiles siguientes al recibo del reclamo. Si transcurridos dos (2) meses desde la fecha del requerimiento el titular no presenta la información solicitada, se entenderá que ha desistido del reclamo. Si FaroNova no es competente para resolver el reclamo, dará traslado a quien corresponda dentro de los dos (2) días hábiles siguientes.
10.2. Plazos de Respuesta
• Consultas (Art. 14, Ley 1581 de 2012): FaroNova responderá dentro de los diez (10) días hábiles siguientes a la fecha de recibo de la solicitud. Cuando no fuere posible atender la consulta dentro de dicho plazo, se informará al titular los motivos de la demora y la fecha en que se atenderá, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
• Reclamos (Art. 15, Ley 1581 de 2012): FaroNova responderá dentro de los quince (15) días hábiles siguientes a la fecha de recibo del reclamo completo. Cuando no fuere posible atender el reclamo dentro de dicho plazo, se informará al titular los motivos de la demora y la fecha en que se atenderá, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer plazo.
10.3. Queja ante la Autoridad
Si el titular no queda satisfecho con la respuesta de FaroNova, podrá presentar una queja ante la Superintendencia de Industria y Comercio (SIC), autoridad encargada de vigilar el cumplimiento de la normatividad de protección de datos personales en Colombia.
• Sitio web: www.sic.gov.co
• Línea gratuita nacional: 018000-910165
11. Seguridad de la Información
FaroNova implementa medidas técnicas, administrativas y humanas para proteger los datos personales contra acceso no autorizado, alteración, divulgación o destrucción. Para información detallada, consulte la Guía de Seguridad de Datos de FaroNova.
Las principales medidas incluyen:
• Encriptación AES-256 para archivos almacenados (server-side, llaves administradas por AWS).
• Encriptación en tránsito (TLS/HTTPS) para todas las comunicaciones.
• Zero Data Retention para las conversaciones con el Asistente Conversacional (Amazon Bedrock).
• Autenticación segura mediante AWS Cognito.
• Infraestructura certificada de AWS: FaroNova opera sobre Amazon Web Services, que cuenta con certificaciones SOC 2, ISO 27001 e ISO 27018. Estas certificaciones corresponden a AWS; FaroNova no cuenta con ellas de manera independiente.
12. Datos de Menores de Edad
Los Servicios de FaroNova están dirigidos exclusivamente a personas mayores de edad (18 años cumplidos) y a organizaciones empresariales. FaroNova no recopila intencionalmente datos personales de menores de edad.
FaroNova se reserva el derecho de verificar la edad del Usuario y solicitar documentación acreditativa en cualquier momento. En caso de que FaroNova tenga conocimiento de que ha recopilado datos de un menor de edad, procederá a eliminarlos de inmediato y a desactivar la cuenta correspondiente.
13. Modificaciones al Aviso de Privacidad
FaroNova se reserva el derecho de modificar el presente Aviso de Privacidad en cualquier momento. Las modificaciones serán comunicadas al titular mediante:
• Publicación de la versión actualizada en faronova.co con la fecha de última actualización visible.
• Notificación por correo electrónico a la dirección registrada en su cuenta.
• Notificación en la Plataforma.
Los cambios sustanciales en la identificación del responsable o en las finalidades del tratamiento serán informados antes de su implementación. Cuando el cambio afecte la finalidad o el alcance de la autorización previamente otorgada, FaroNova solicitará una nueva autorización al titular antes de implementar el cambio.
El uso continuado de los Servicios después de la notificación de cambios que no afecten la finalidad ni el alcance de la autorización constituye la aceptación de las modificaciones.
14. Vigencia
El presente Aviso de Privacidad entra en vigencia a partir de la fecha de su publicación y permanecerá vigente mientras FaroNova realice el tratamiento de datos personales conforme a las finalidades aquí descritas.
15. Contacto
Para cualquier consulta, solicitud o reclamo relacionado con el tratamiento de sus datos personales:
• Correo de privacidad: privacidad@faronova.co
• Correo general: contacto@faronova.co
• WhatsApp: +57 317 378 4220
• Dirección: Bogotá D.C., Colombia