1. Responsable del tratamiento
Responsable: ROBOLAF S.A.S.
NIT: 902.056.765-9
Producto: POSYMA — posyma.com
Domicilio: Envigado, Antioquia, Colombia
Canal único de atención al titular: [email protected]
Toda consulta, reclamo, solicitud de actualización, rectificación, supresión de datos o revocatoria de la autorización debe dirigirse exclusivamente al canal indicado, que es el medio habilitado por ROBOLAF S.A.S. para el ejercicio de los derechos de los titulares.
2. Marco normativo y alcance
Esta política se adopta en cumplimiento del derecho fundamental de habeas data consagrado en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 (compilado en el Decreto Único 1074 de 2015) y las demás normas que los modifiquen, adicionen o complementen.
Aplica a todos los datos personales registrados en bases de datos cuyo tratamiento realice ROBOLAF S.A.S. en relación con el producto POSYMA, ya sea como Responsable o como Encargado del tratamiento, e incluye a visitantes del sitio web, prospectos comerciales, comercios suscriptores («Comercios»), sus usuarios autorizados y los clientes finales de dichos Comercios.
3. Principios rectores
El tratamiento de datos personales por parte de ROBOLAF S.A.S. se sujeta a los principios del artículo 4 de la Ley 1581 de 2012:
- Legalidad: el tratamiento se realiza conforme a la ley.
- Finalidad: el tratamiento obedece a finalidades legítimas, informadas al titular.
- Libertad: el tratamiento solo se realiza con el consentimiento previo, expreso e informado del titular, salvo las excepciones legales.
- Veracidad o calidad: la información tratada debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
- Transparencia: el titular puede obtener en cualquier momento información acerca de la existencia de datos que le conciernan.
- Acceso y circulación restringida: los datos solo son tratados por personas y procesos autorizados.
- Seguridad: la información se protege con medidas técnicas, humanas y administrativas para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Confidencialidad: todas las personas que intervienen en el tratamiento están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación con ROBOLAF.
4. Definiciones
- Titular: persona natural cuyos datos personales son objeto de tratamiento.
- Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato sensible: aquel que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones religiosas, datos de salud, biométricos, entre otros).
- Tratamiento: cualquier operación sobre datos personales, como la recolección, almacenamiento, uso, circulación o supresión.
- Responsable del tratamiento: quien decide sobre la base de datos y/o el tratamiento de los datos.
- Encargado del tratamiento: quien realiza el tratamiento de datos por cuenta del Responsable.
- Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento.
- Transmisión: comunicación de datos personales a un Encargado, dentro o fuera de Colombia, para que realice un tratamiento por cuenta del Responsable.
- Transferencia: envío de datos personales a un receptor que actúa como Responsable del tratamiento, dentro o fuera de Colombia.
- Comercio: la persona natural o jurídica que contrata la plataforma POSYMA para la operación de su negocio.
- Espacio de Trabajo: el entorno lógico independiente asignado a cada Comercio dentro de la plataforma, con base de datos propia y separada de la de los demás Comercios, en el cual residen exclusivamente sus datos, configuraciones, usuarios y documentos electrónicos.
- Inteligencia Artificial (IA): sistemas basados en algoritmos y modelos computacionales que procesan datos para generar respuestas, predicciones, recomendaciones o asistencia de forma automatizada.
- MIA: el asistente de inteligencia artificial integrado en POSYMA, que opera exclusivamente dentro del Espacio de Trabajo de cada Comercio para brindar apoyo operativo y de soporte, conforme a la sección 7 de esta política.
- Proveedor Tecnológico: el tercero autorizado por la DIAN como proveedor tecnológico de facturación electrónica, integrado a POSYMA, a través del cual se firman y transmiten los documentos electrónicos a la DIAN.
5. Roles: Responsable y Encargado del tratamiento
- ROBOLAF S.A.S. actúa como Responsable del tratamiento respecto de los datos que recolecta directamente para sus propias finalidades: datos de cuenta y contacto de los Comercios y sus usuarios, prospectos comerciales, datos de facturación y suscripción, y datos de soporte y PQR (sección 6).
- ROBOLAF S.A.S. actúa como Encargado del tratamiento respecto de la información fiscal y comercial del Comercio y de los datos personales de los clientes propios del Comercio registrados en su Espacio de Trabajo. En estos casos, el Comercio es el Responsable del tratamiento: define las finalidades, debe obtener las autorizaciones de sus titulares y atender sus solicitudes, y ROBOLAF procesa los datos exclusivamente por cuenta y bajo las instrucciones del Comercio.
- ROBOLAF no procesa, analiza, perfila, comercializa ni utiliza la información fiscal y comercial de los Espacios de Trabajo para finalidades propias en ninguna fase del proceso. El tratamiento de dicha información se limita a la prestación del servicio contratado, su transmisión a la DIAN cuando el documento fiscal lo requiere y el cumplimiento de obligaciones legales.
- Quien reciba un documento electrónico emitido a través de POSYMA debe tener en cuenta que el emisor del documento (el Comercio) es el Responsable de los datos personales contenidos en él; ROBOLAF actúa únicamente como capa tecnológica.
- Las solicitudes de titulares cuyos datos sean tratados por ROBOLAF en calidad de Encargado serán trasladadas al Comercio Responsable correspondiente, informando de ello al titular, sin perjuicio del deber de ROBOLAF de colaborar en su atención oportuna.
6. Bases de datos y finalidades del tratamiento
ROBOLAF S.A.S. administra las siguientes bases de datos en relación con POSYMA, cada una con finalidades específicas:
| Base de datos | Titulares | Rol de ROBOLAF | Finalidades principales |
|---|---|---|---|
| Cuentas y usuarios | Representantes y usuarios autorizados de los Comercios | Responsable | Crear y administrar las cuentas, autenticar el acceso, prestar el servicio contratado, enviar comunicaciones operativas y garantizar la seguridad y auditoría de la plataforma. |
| Prospectos comerciales | Personas que solicitan información o demostraciones | Responsable | Atender solicitudes de información, gestionar demostraciones y, solo con autorización previa, enviar comunicaciones comerciales sobre POSYMA, revocables en cualquier momento. |
| Facturación y suscripción | Representantes y contactos de pago de los Comercios | Responsable | Gestionar la facturación de la suscripción, el cobro a través de la pasarela de pagos, la contabilidad de ROBOLAF y el cumplimiento de sus obligaciones tributarias. |
| Soporte y PQR | Usuarios y titulares que presentan solicitudes | Responsable | Atender consultas, solicitudes, quejas y reclamos, documentar su trámite y acreditar su atención oportuna. |
| Espacios de Trabajo (datos fiscales y clientes de los Comercios) | Clientes y contactos propios de cada Comercio | Encargado | Alojar y procesar los datos por cuenta y bajo instrucciones del Comercio, operar el punto de venta, generar y transmitir documentos electrónicos a la DIAN y brindar apoyo operativo mediante MIA dentro del propio Espacio de Trabajo. |
Adicionalmente, ROBOLAF trata datos técnicos generados por el uso de la plataforma (registros de acceso, dirección IP, identificadores de sesión y eventos de auditoría) con fines exclusivos de seguridad, soporte y cumplimiento, y podrá elaborar estadísticas con información agregada y anonimizada que no identifica a los titulares.
7. MIA — tratamiento de datos por el asistente de inteligencia artificial
MIA es el asistente de inteligencia artificial integrado en POSYMA. Esta sección regula de forma específica el tratamiento de información asociado a su funcionamiento y constituye el compromiso de ROBOLAF S.A.S. en materia de privacidad e inteligencia artificial.
7.1. Qué datos utiliza MIA y con qué finalidad
MIA accede exclusivamente a los datos operativos del propio Espacio de Trabajo del Comercio que la utiliza: ventas, inventario, productos, clientes del Comercio, configuración y documentos. La única finalidad de dicho acceso es responder las consultas operativas del Comercio, asistirlo en la operación de su negocio y brindarle soporte dentro de ese mismo Espacio de Trabajo. MIA no utiliza estos datos para ninguna otra finalidad.
7.2. Aislamiento estricto por Espacio de Trabajo
La plataforma POSYMA está construida sobre una arquitectura de aislamiento por Espacio de Trabajo: cada Comercio cuenta con una base de datos independiente, separada de la de los demás Comercios. MIA opera estrictamente encapsulada dentro del Espacio de Trabajo del Comercio que la invoca y jamás accede, comparte, mezcla o revela información de un Comercio a otro Comercio, bajo ninguna circunstancia.
7.3. Cifrado de la información
La información de cada Espacio de Trabajo, incluida la que MIA procesa, se protege mediante cifrado en tránsito y en reposo, aplicado de manera individual a la base de datos independiente de cada Comercio, junto con las demás medidas de seguridad descritas en la sección 9.
7.4. Acceso restringido: sin revisión humana por parte de ROBOLAF
ROBOLAF no accede al contenido de las conversaciones sostenidas con MIA ni a los datos que MIA procesa para finalidades propias. El acceso a dicho contenido está restringido, mediante controles técnicos y de política, a los procesos automatizados necesarios para la prestación del servicio. No existe revisión humana del contenido, salvo en dos únicos supuestos, de interpretación restrictiva:
- La solicitud expresa del propio Comercio — por ejemplo, para diagnosticar un problema en el marco de una solicitud de soporte —, limitada al alcance de dicha solicitud; o
- La orden de autoridad competente, emitida conforme a la ley colombiana, en cuyo caso el acceso se limitará estrictamente a lo ordenado.
7.5. Prohibición de uso para entrenamiento de modelos
La información de los Comercios y de sus Espacios de Trabajo nunca se utiliza para entrenar modelos de inteligencia artificial, ni propios de ROBOLAF ni de terceros. Los proveedores de infraestructura de modelos de inteligencia artificial que intervienen en el funcionamiento de MIA actúan como sub-encargados del tratamiento, bajo compromisos contractuales de confidencialidad, no retención y no utilización de la información para entrenamiento de modelos.
7.6. Prohibición de comercialización
La información procesada por MIA jamás se vende, cede, transfiere o revela a terceros con fines comerciales o de cualquier otra naturaleza ajena a la prestación del servicio.
7.7. Gobernanza y decisiones automatizadas
- Ninguna decisión que afecte derechos fundamentales de los titulares se toma de forma exclusivamente automatizada: una persona cualificada conserva siempre la capacidad de monitorear, revisar, validar y corregir los resultados de los sistemas de inteligencia artificial de la plataforma.
- Los titulares tienen derecho a obtener información clara acerca de la lógica aplicada por los sistemas de inteligencia artificial que traten sus datos, y a oponerse a decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos sobre ellos o los afecten significativamente.
- MIA se desarrolla y opera bajo el principio de privacidad desde el diseño y por defecto: la minimización de datos, el aislamiento por Espacio de Trabajo y las restricciones de acceso descritas en esta sección hacen parte de la arquitectura del sistema.
7.8. Naturaleza de las respuestas de MIA
Las respuestas de MIA constituyen apoyo operativo generado mediante procesos automatizados y no constituyen asesoría contable, tributaria, financiera ni legal. El Comercio es responsable de validar la información antes de tomar decisiones con base en ella, conforme a la sección MIA de los Términos y Condiciones.
8. Conservación de los datos
ROBOLAF S.A.S. no conserva datos personales de forma indefinida. Los períodos de conservación son los siguientes:
- Información fiscal y documentos electrónicos: se conservan durante la vigencia del contrato con el Comercio y por diez (10) años adicionales, término exigido por la normatividad tributaria colombiana y los requerimientos de la DIAN sobre conservación de documentos fiscales.
- Datos de cuenta, facturación y soporte: se conservan mientras exista la relación contractual con el Comercio y, terminada esta, durante los términos de prescripción de las acciones legales y de las obligaciones contables y tributarias de ROBOLAF.
- Prospectos comerciales: se conservan por un máximo de veinticuatro (24) meses contados desde el último contacto, si no se concreta una relación contractual; vencido este término, los datos se suprimen o anonimizan.
- Datos de los Espacios de Trabajo (como Encargado): se conservan mientras el Comercio mantenga su suscripción y durante la ventana de exportación de treinta (30) días descrita en los Términos y Condiciones; vencida esta, se suprimen o anonimizan, salvo la información sujeta a conservación legal.
Cumplidas las finalidades del tratamiento y vencidos los términos legales de conservación, los datos serán suprimidos o anonimizados. Queda proscrita la retención indefinida de datos personales sin finalidad legítima.
9. Medidas de seguridad
ROBOLAF S.A.S. adopta medidas técnicas, humanas y administrativas razonables y proporcionales para proteger los datos personales contra adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, entre ellas:
- Aislamiento por Espacio de Trabajo: cada Comercio opera sobre una base de datos independiente, separada de la de los demás Comercios, lo que impide la mezcla de información entre clientes.
- Cifrado de la información en tránsito y en reposo, aplicado por Espacio de Trabajo.
- Copias de seguridad cifradas, gestionadas con controles de acceso equivalentes a los de los sistemas en producción.
- Acceso restringido basado en roles y en el principio de necesidad de conocer, con autenticación de usuarios y registros de auditoría de las operaciones.
- Procedimientos internos de gestión de credenciales, actualización de sistemas y evaluación periódica de riesgos de seguridad.
10. Gestión de incidentes de seguridad
Ante un incidente de seguridad que afecte datos personales, ROBOLAF S.A.S. aplicará su procedimiento interno de gestión de incidentes, orientado a contener el incidente, evaluar su alcance y mitigar sus efectos.
- Cuando el incidente genere riesgos para los titulares, ROBOLAF notificará a la Superintendencia de Industria y Comercio (SIC) y a los titulares afectados dentro de un término máximo de setenta y dos (72) horas contadas desde su conocimiento, informando la naturaleza del incidente, los datos comprometidos y las medidas adoptadas.
- Cuando ROBOLAF actúe como Encargado, notificará además sin dilación al Comercio Responsable para que este cumpla sus propios deberes de notificación.
11. Transmisión y transferencia internacional de datos
POSYMA utiliza proveedores de infraestructura y servicios en la nube para alojar y operar la plataforma, cuyos centros de datos pueden estar ubicados fuera de Colombia. En consecuencia, algunos datos personales pueden ser objeto de transmisión internacional hacia Encargados y sub-encargados, con el único fin de prestar el servicio.
- Estas transmisiones se realizan hacia proveedores que ofrecen niveles adecuados de protección de datos y/o bajo contratos que incluyen compromisos de confidencialidad y el cumplimiento de las obligaciones previstas en la Ley 1581 de 2012 y sus decretos reglamentarios (artículos 26 y 27 de la Ley 1581 de 2012).
- Los proveedores de infraestructura de modelos de inteligencia artificial que intervienen en el funcionamiento de MIA actúan como sub-encargados bajo los compromisos adicionales de no retención y no entrenamiento descritos en la sección 7.5.
- ROBOLAF no vende ni cede datos personales a terceros con fines comerciales.
- Los datos podrán entregarse a autoridades competentes (por ejemplo, la DIAN) cuando exista obligación legal de hacerlo.
12. Menores de edad y datos sensibles
- POSYMA está dirigida a comerciantes y empresas. ROBOLAF no recolecta intencionalmente datos personales de menores de edad ni datos sensibles para sus propias finalidades.
- El tratamiento de datos de niños, niñas y adolescentes solo procede en los supuestos excepcionales previstos en el artículo 7 de la Ley 1581 de 2012, respetando siempre su interés superior y sus derechos prevalentes.
- El suministro de datos sensibles es facultativo: ninguna actividad de ROBOLAF está condicionada a su entrega.
- Si un Comercio, en su calidad de Responsable, registra en su Espacio de Trabajo datos sensibles o de menores de edad, es su responsabilidad contar con la autorización reforzada y las garantías que exige la ley.
13. Cookies
El sitio web posyma.com utiliza un número mínimo de cookies y tecnologías similares, principalmente de carácter técnico y funcional: preferencia de idioma, preferencia de moneda y sesión de usuario en la aplicación. No utilizamos cookies de publicidad de terceros ni de seguimiento con fines comerciales. El usuario puede configurar su navegador para bloquear o eliminar cookies; algunas funcionalidades podrían verse afectadas.
14. Derechos de los titulares
De conformidad con el artículo 8 de la Ley 1581 de 2012, el titular de los datos tiene derecho a:
- Conocer, actualizar y rectificar sus datos personales frente al Responsable o al Encargado del tratamiento.
- Solicitar prueba de la autorización otorgada, salvo las excepciones legales.
- Ser informado, previa solicitud, sobre el uso que se ha dado a sus datos.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones al régimen de protección de datos, una vez agotado el trámite de consulta o reclamo ante el Responsable o Encargado.
- Revocar la autorización y/o solicitar la supresión de sus datos cuando no exista un deber legal o contractual que imponga su conservación.
- Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
- Respecto de los sistemas de inteligencia artificial de la plataforma, conocer la lógica aplicada y oponerse a decisiones basadas únicamente en tratamientos automatizados, conforme a la sección 7.7.
15. Procedimiento para consultas y reclamos
El titular, sus causahabientes o su representante podrán ejercer sus derechos enviando una solicitud al canal único [email protected], indicando: (i) nombre completo e identificación del titular; (ii) descripción clara de la consulta o reclamo; (iii) dirección o medio de contacto para recibir respuesta; y (iv) los documentos que soporten la solicitud, cuando aplique.
- Consultas: serán atendidas en un término máximo de diez (10) días hábiles contados a partir de su recibo. Si no fuere posible atenderla en dicho término, se informará al interesado, expresando los motivos de la demora, y la consulta se atenderá dentro de los cinco (5) días hábiles siguientes al vencimiento del primer término (artículo 14, Ley 1581 de 2012).
- Reclamos: si el reclamo está incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a su recepción para que lo subsane; transcurridos dos (2) meses sin respuesta del solicitante, se entenderá desistido. Recibido el reclamo completo, se incluirá en la base de datos la leyenda «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles, y dicha leyenda se mantendrá hasta que el reclamo sea decidido. El reclamo será atendido en un término máximo de quince (15) días hábiles contados a partir del día siguiente a su recibo; si no fuere posible, se informará al interesado los motivos de la demora y la fecha de atención, que no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término (artículo 15, Ley 1581 de 2012).
- Cuando ROBOLAF actúe como Encargado, trasladará la solicitud al Comercio Responsable e informará de ello al titular.
16. Autoridad de protección de datos
La autoridad encargada de velar por el cumplimiento del régimen de protección de datos personales en Colombia es la Superintendencia de Industria y Comercio (SIC) — www.sic.gov.co. El titular podrá presentar quejas ante la SIC una vez agotado el trámite de consulta o reclamo descrito en la sección 15.
17. Modificaciones y vigencia
Esta política (Versión 2.0) rige a partir del 11 de junio de 2026 y permanecerá vigente mientras ROBOLAF S.A.S. realice tratamiento de datos personales en relación con POSYMA. Cualquier modificación sustancial será publicada en esta página e informada a los titulares por los canales disponibles antes de su entrada en vigencia. Las bases de datos se mantendrán durante los plazos descritos en la sección 8.