VencimientoCeroVolver al inicio

Política de Privacidad y Tratamiento de Datos Personales

Vigencia: 26 de abril de 2026

En VencimientoCero respetamos su derecho fundamental al habeas data. La presente Política describe cómo recolectamos, usamos, almacenamos, transferimos y protegemos sus datos personales, conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013, la Ley 1266 de 2008 y demás normas concordantes vigentes en la República de Colombia.

1. Identificación del Responsable del Tratamiento

El Responsable del Tratamiento de los datos personales es:

2. Definiciones

Para efectos de esta Política se entenderá por:

  • Titular: la persona natural cuyos datos personales son objeto de tratamiento.
  • Dato personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
  • Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación o supresión).
  • Encargado del Tratamiento: tercero que, por cuenta del Responsable, realiza el tratamiento.
  • Autorización: consentimiento previo, expreso e informado del Titular para el tratamiento de sus datos.

3. Datos personales que recolectamos

3.1. Datos de registro y cuenta

  • Nombre o razón social.
  • Tipo y número de documento de identificación (NIT, cédula).
  • Tipo de persona (natural o jurídica) y régimen tributario.
  • Código CIIU declarado.
  • Correo electrónico de contacto.
  • Contraseña (almacenada de forma cifrada con funciones criptográficas; nunca en texto plano).

3.2. Datos de pago

VencimientoCero no almacena el número completo de su tarjeta, código CVV ni fecha de vencimiento. Estos datos son procesados directamente por Wompi, pasarela de pagos vigilada por la Superintendencia Financiera de Colombia. Únicamente almacenamos:

  • La marca de la tarjeta (VISA, MasterCard, etc.).
  • Los últimos cuatro dígitos.
  • El identificador tokenizado provisto por Wompi (payment_source_id) que permite procesar las renovaciones automáticas sin volver a solicitar datos sensibles.

3.3. Datos de uso

  • Registros de acceso (fecha, hora, dirección IP, agente de usuario).
  • Acciones realizadas en la Plataforma para fines de auditoría, seguridad y mejora del Servicio.

3.4. Cookies y tecnologías similares

Utilizamos exclusivamente cookies estrictamente necesarias para el funcionamiento del Servicio. No usamos cookies publicitarias, de seguimiento de terceros, ni de perfilamiento.

  • __vc_session— cookie firmada con HMAC desde el servidor. Permite que el proxy reconozca al usuario autenticado antes de servir las rutas privadas. Dura el tiempo de la sesión.
  • Cookies internas de Supabase Auth— fijadas por el SDK para mantener el token de acceso del usuario. Su finalidad es exclusivamente la autenticación.
  • vc_cookie_notice_v1 — se guarda en localStorage (no es cookie propiamente dicha) cuando el usuario reconoce el aviso de cookies, para no volver a mostrarlo. No contiene datos personales.

También usamos Vercel Analytics y Vercel Speed Insights, que recogen métricas de rendimiento y trazas anónimas mediante huellas digitales agregadas sin cookies de seguimiento.

Como el conjunto anterior califica como esencial para prestar el Servicio, no requerimos un mecanismo de consentimiento previo opt-in para activarlas. Sí mostramos un aviso informativo (banner) la primera vez que el visitante accede al sitio, con enlace a esta sección.

4. Finalidades del tratamiento

Los datos personales son tratados exclusivamente para las siguientes finalidades:

  1. Crear, gestionar y autenticar la cuenta del Usuario.
  2. Prestar el Servicio: enviar recordatorios, alertas y notificaciones sobre vencimientos tributarios y mercantiles.
  3. Procesar pagos y gestionar suscripciones, incluyendo cobros recurrentes a través de Wompi.
  4. Emitir facturación electrónica y cumplir obligaciones tributarias y contables del Responsable.
  5. Atender consultas, peticiones, quejas y reclamos.
  6. Enviar comunicaciones operativas o transaccionales relacionadas con el Servicio.
  7. Enviar comunicaciones comerciales sobre nuevas funcionalidades o promociones, siempre que el Titular haya prestado su autorización (puede revocarse en cualquier momento).
  8. Mantener registros de seguridad, prevenir fraude y cumplir obligaciones legales.
  9. Realizar análisis estadísticos agregados que no permiten identificar al Titular.

5. Bases legales del tratamiento

El tratamiento se fundamenta en:

  • Autorización previa, expresa e informada del Titular, otorgada al momento de aceptar esta Política durante el registro.
  • Ejecución de un contrato en el cual el Titular es parte (los Términos de Servicio).
  • Cumplimiento de obligaciones legales aplicables al Responsable (obligaciones tributarias, contables y comerciales).
  • Interés legítimo en mantener la seguridad de la Plataforma y prevenir fraudes.

6. Encargados del Tratamiento (proveedores)

Para prestar el Servicio podemos compartir datos con los siguientes Encargados, que actúan bajo nuestras instrucciones y con compromisos contractuales de confidencialidad y seguridad:

ProveedorFinalidadPaís
Supabase, Inc.Almacenamiento de base de datos y autenticación.Estados Unidos / Unión Europea
Vercel, Inc.Hosting y entrega de la aplicación web.Estados Unidos
Wompi (WOMPI S.A.S.)Procesamiento de pagos y tokenización de tarjetas.Colombia
Google LLCProcesamiento de IA para análisis de documentos legales públicos (Gemini API).Estados Unidos
Upstash, Inc.Rate limiting distribuido (cuando se configura el backend Redis REST).Estados Unidos / Unión Europea

Algunas de estas transferencias implican el envío de datos a países que pueden no contar con un nivel de protección equivalente al colombiano. En tales casos, VencimientoCero suscribe cláusulas contractuales que aseguran un estándar adecuado de protección, conforme al artículo 26 de la Ley 1581 de 2012.

7. Derechos del Titular (Habeas Data)

En su condición de Titular, Usted tiene derecho a:

  1. Conocer, actualizar y rectificar sus datos personales frente al Responsable o los Encargados del Tratamiento.
  2. Solicitar prueba de la autorización otorgada al Responsable.
  3. Ser informado sobre el uso que se le ha dado a sus datos personales.
  4. Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la normativa.
  5. Revocar la autorización y/o solicitar la supresión de los datos cuando no se respeten los principios y garantías constitucionales y legales.
  6. Acceder de forma gratuita a sus datos que hayan sido objeto de tratamiento.

8. Procedimiento para ejercer sus derechos

Las solicitudes de consulta o reclamo deben dirigirse al correo electrónico soporte@vcero.lat, indicando:

  • Nombre completo y número de identificación.
  • Correo electrónico registrado en la cuenta.
  • Descripción clara de los hechos y de lo solicitado.
  • Documentos que soporten la solicitud (cuando aplique).

8.1. Plazos de respuesta

  • Consultas: serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Si no fuere posible, se informará al interesado y se atenderá dentro de los cinco (5) días hábiles siguientes.
  • Reclamos: serán atendidos en un término máximo de quince (15) días hábiles contados a partir del día siguiente al recibo. Si no fuere posible, se informará al interesado y se atenderá en los ocho (8) días hábiles siguientes.

8.2. Supresión y revocatoria

El Titular puede solicitar en cualquier momento la supresión de sus datos o la revocatoria de la autorización. La solicitud no procederá cuando exista un deber contractual o legal de conservar los datos (por ejemplo, durante el tiempo en que la ley exija conservar registros tributarios o contables).

8.3. Portabilidad y autoservicio

Para facilitar el ejercicio inmediato de sus derechos, la Plataforma ofrece dos endpoints autenticados que cualquier Titular registrado puede invocar desde su sesión activa:

  • Portabilidad: GET /api/cuenta/exportar devuelve un archivo JSON con la totalidad de sus datos personales tratados (perfil, suscripciones, pagos y bitácora de auditoría) en formato estructurado y de uso común.
  • Supresión: POST /api/cuenta/eliminar con cuerpo { "confirmation": "ELIMINAR" } elimina inmediatamente la cuenta, los datos asociados y la fila en el sistema de autenticación. Si existe una suscripción activa, primero debe cancelarse desde la pestaña «Plan».

El uso de estos endpoints queda registrado en la bitácora de auditoría como evidencia del ejercicio del derecho. Cuando se requiera asistencia humana o existan dudas sobre un caso particular, el canal preferente sigue siendo el correo de soporte.

9. Seguridad de la información

Implementamos medidas técnicas, humanas y administrativas razonables para proteger los datos personales contra acceso no autorizado, pérdida, alteración o uso indebido, incluyendo:

  • Cifrado en tránsito (TLS/HTTPS) en toda la Plataforma.
  • Cifrado en reposo de la base de datos en Supabase.
  • Almacenamiento de contraseñas mediante funciones criptográficas (bcrypt/argon2 administrado por Supabase Auth).
  • Control de acceso basado en roles (RLS — Row Level Security).
  • Rate limiting y protección contra abuso en endpoints sensibles.
  • Tokenización de tarjetas a través de Wompi (PCI-DSS).

No obstante lo anterior, ningún sistema es absolutamente invulnerable. En caso de violación de seguridad que afecte sus datos personales, activaremos el procedimiento interno de respuesta a incidentes y, cuando corresponda, notificaremos al Titular y a la Superintendencia de Industria y Comercio (SIC) dentro de los plazos definidos por la circular externa 002 de 2015 de la SIC y demás normas vigentes.

10. Conservación y supresión de los datos

Aplicamos los siguientes plazos concretos de conservación, alineados con los deberes que el ordenamiento jurídico colombiano impone al Responsable:

Categoría de datoPlazo de conservaciónFundamento
Perfil de cuenta (razón social, NIT, contacto, preferencias).Vigencia de la relación contractual. Tras la cancelación: hasta el cierre del periodo pagado.Ejecución del contrato (Ley 1581/2012, art. 4 lit. d).
Registros de pago (pagos) y suscripciones (suscripciones).Cinco (5) años contados desde la fecha de la transacción.Art. 28 Código de Comercio; art. 632 Estatuto Tributario.
Bitácora de auditoría (auditoria_eventos): consentimientos, supresiones, exportaciones.Cinco (5) años contados desde el evento.Ley 1581/2012, art. 17 lit. n (deber de demostrar la observancia de los principios).
Vencimientos ocultados manualmente por el Usuario (vencimientos_ocultos).Hasta un (1) año después de la fecha del vencimiento al que aplican.Interés legítimo en preservar el estado de la cuenta del Titular activo.
Acuses de notificación enviada (notificaciones_enviadas).Un (1) año desde el envío.Trazabilidad operativa y prueba de cumplimiento del Servicio.
Registros de ejecución de jobs internos (cron_runs).Noventa (90) días.Observabilidad y diagnóstico. Sin datos personales relevantes.

Cuando el Titular ejerce su derecho de supresión inmediata vía POST /api/cuenta/eliminar, eliminamos el perfil, la suscripción y los accesos asociados. Los registros de pagos y auditoria_eventosque correspondan a obligaciones legales se anonimizan (se desvincula el identificador personal) en lugar de eliminarse, dejando únicamente lo necesario para cumplir el deber de conservación. Los datos anonimizados ya no permiten identificar al Titular.

Adicionalmente, un proceso automatizado de retención diferida(/api/cron/data-retention) purga periódicamente los datos cuyo plazo haya vencido, sin requerir solicitud del Titular.

11. Menores de edad

El Servicio no está dirigido a menores de edad. No recolectamos intencionalmente datos de menores. Si detectamos que un menor se ha registrado, procederemos a eliminar la cuenta y los datos asociados.

12. Datos sensibles y especiales

VencimientoCero no solicita ni trata datos sensibles (origen racial, orientación política, convicciones religiosas, datos biométricos o de salud, entre otros), salvo que sea estrictamente necesario y se cuente con autorización expresa del Titular para una finalidad específica e informada.

13. Modificaciones a esta Política

Esta Política puede ser modificada cuando ocurran cambios sustanciales en el tratamiento de datos. Los cambios serán publicados en esta misma URL e informados al Titular por correo electrónico cuando impliquen una modificación de las finalidades autorizadas.

14. Autoridad de control

El Titular tiene derecho a presentar quejas ante la Superintendencia de Industria y Comercio (SIC), autoridad de control en materia de protección de datos personales en Colombia. Los canales de la SIC pueden consultarse en www.sic.gov.co.

15. Contacto

Cualquier consulta sobre el tratamiento de sus datos personales puede dirigirla al correo electrónico soporte@vcero.lat.

Última actualización: 26 de abril de 2026.