Política de Tratamiento de Datos Personales

Aviso: esta versión 1.0 es la primera revisión publicada. Las prácticas descritas se actualizan periódicamente conforme evoluciona la operación de Sibell y la normativa colombiana de protección de datos.

Sibell SAS — NIT 901.916.609-5
Versión: 1.0
Fecha de entrada en vigor: 15 de mayo de 2026
Última actualización: 15 de mayo de 2026

1. Identificación del Responsable del Tratamiento

2. Marco Normativo

Esta política da cumplimiento a la Constitución Política de Colombia (artículo 15), la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015, las circulares y resoluciones emitidas por la Superintendencia de Industria y Comercio (SIC), y demás normas concordantes vigentes en Colombia sobre protección de datos personales.

3. Ámbito de Aplicación

Esta política aplica a todos los datos personales registrados en las bases de datos administradas por Sibell SAS en su calidad de Responsable del Tratamiento, incluyendo:

• Datos de clientes corporativos (representantes legales, empleados autorizados, contactos comerciales).
• Datos de prospectos comerciales y leads.
• Datos de visitantes del sitio web sibell.in y subdominios.
• Datos de empleados, contratistas y proveedores.
• Datos recolectados a través de canales de soporte, marketing o atención.

Importante — operación como Encargado: En su línea de negocio principal (servicio de autenticación SMS 2FA y servicios asociados), Sibell SAS actúa como Encargado del Tratamiento de datos cuyo Responsable es su cliente corporativo. El tratamiento de esos datos se rige por el respectivo Contrato de Encargo de Tratamiento firmado con cada cliente y por la Ley 1581 de 2012. Las solicitudes de Habeas Data sobre datos procesados bajo esa figura deben dirigirse al cliente corporativo correspondiente; Sibell colaborará en todos los casos según lo establecido en la sección 11 de esta política.

4. Definiciones

Para efectos de esta política aplican las definiciones del artículo 3 de la Ley 1581 de 2012 y del artículo 3 del Decreto 1377 de 2013. En particular:

• Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos personales.
• Base de datos: conjunto organizado de datos personales objeto de tratamiento.
• Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato sensible: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación (origen racial, orientación política, convicciones religiosas, salud, vida sexual, datos biométricos, entre otros).
• Encargado del Tratamiento: persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del Responsable.
• Responsable del Tratamiento: persona natural o jurídica que decide sobre la base de datos y/o el tratamiento de los datos.
• Titular: persona natural cuyos datos personales son objeto de tratamiento.
• Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales (recolección, almacenamiento, uso, circulación, supresión, etc.).
• Transferencia internacional: envío de datos personales por parte del Responsable o Encargado a un destinatario en un país distinto al de origen.

5. Principios

Sibell SAS aplica los principios consagrados en el artículo 4 de la Ley 1581 de 2012:

1. Legalidad: todo tratamiento se sujeta a la ley.
2. Finalidad: los datos se tratan con una finalidad legítima, informada al Titular.
3. Libertad: el tratamiento solo se realiza con consentimiento previo, expreso e informado del Titular.
4. Veracidad o calidad: la información tratada es veraz, completa, exacta, actualizada, comprobable y comprensible.
5. Transparencia: se garantiza al Titular el derecho a obtener información sobre el tratamiento de sus datos.
6. Acceso y circulación restringida: los datos solo pueden ser tratados por personas autorizadas o por aquellas previstas en la ley.
7. Seguridad: se adoptan medidas técnicas, humanas y administrativas necesarias para proteger los datos.
8. Confidencialidad: todas las personas que intervienen en el tratamiento están obligadas a garantizar la reserva de la información.

6. Tipos de Datos Personales Tratados

6.1 Datos de identificación

Nombres y apellidos, número de documento de identidad, fecha de nacimiento, nacionalidad.

6.2 Datos de contacto

Correo electrónico, número de teléfono, dirección, ciudad, país.

6.3 Datos laborales y profesionales

Cargo, empresa, área de trabajo, experiencia profesional.

6.4 Datos transaccionales

Información de pagos, facturación, consumo de servicios contratados.

6.5 Datos técnicos

Dirección IP, datos de navegación, cookies, identificadores de dispositivo, registros de acceso a la plataforma.

6.6 Datos sensibles

Sibell SAS no recolecta ni trata datos sensibles de los Titulares cubiertos por esta política. Si el Titular suministra voluntariamente datos sensibles (por ejemplo, en una comunicación de soporte), se solicitará autorización explícita y se aplicará un tratamiento reforzado.

6.7 Datos de menores de edad

Sibell SAS no dirige sus servicios a menores de edad ni recolecta datos de menores de manera consciente. En caso de identificar datos de un menor, se procederá a su supresión inmediata, salvo que medie autorización del representante legal en los términos del artículo 7 de la Ley 1581 de 2012.

7. Finalidades del Tratamiento

Sibell SAS trata datos personales para las siguientes finalidades:

1. Prestar los servicios de autenticación SMS 2FA, servicios de inteligencia artificial, analítica, automatización y consultoría contratados por el cliente.
2. Gestionar el ciclo de vida comercial del cliente: registro, onboarding, facturación, cobros, soporte y atención.
3. Comunicar al cliente cambios técnicos, comerciales o legales relevantes para la prestación del servicio.
4. Atender solicitudes de soporte, peticiones, quejas, reclamos y sugerencias.
5. Realizar actividades de mercadeo y prospección comercial, siempre con autorización previa del Titular y con opción de baja en cualquier momento.
6. Cumplir obligaciones legales, contractuales, contables, tributarias y regulatorias.
7. Evaluar y mejorar la calidad de los servicios prestados mediante analítica agregada y anonimizada.
8. Prevenir, detectar e investigar fraude, abuso o usos indebidos de la plataforma.
9. Gestionar la relación laboral, contractual o de prestación de servicios con empleados, contratistas y proveedores.
10. Cualquier otra finalidad informada al Titular y autorizada por este al momento de la recolección.

8. Derechos del Titular

De acuerdo con el artículo 8 de la Ley 1581 de 2012, todo Titular tiene derecho a:

1. Conocer, actualizar y rectificar sus datos personales frente a Sibell SAS. Este derecho puede ejercerse, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada a Sibell SAS, salvo cuando expresamente se exceptúe como requisito para el tratamiento (artículo 10 Ley 1581).
3. Ser informado por Sibell SAS, previa solicitud, respecto del uso que se le ha dado a sus datos personales.
4. Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a la Ley 1581 de 2012 y sus decretos reglamentarios.
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la SIC haya determinado que en el tratamiento Sibell SAS ha incurrido en conductas contrarias a la ley.
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

9. Canales para Ejercer Derechos

El Titular puede ejercer sus derechos a través de cualquiera de los siguientes canales:

• Correo electrónico: privacidad@sibell.in
• Dirección física: Calle 174 No. 57-30, Bogotá D.C., Colombia

Las solicitudes deben contener:

1. Nombre completo y documento de identidad del Titular.
2. Descripción clara y precisa de la solicitud, hecho o derecho que se ejerce.
3. Dirección física o electrónica para notificaciones.
4. Documentos que soporten la solicitud, si aplica.
5. Firma de la solicitud (si se presenta por escrito físico).

10. Procedimiento Habeas Data

10.1 Consultas

Sibell SAS atenderá las consultas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento, expresando los motivos de la demora y señalando la fecha en que se atenderá la consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

10.2 Reclamos

Los reclamos deben presentarse identificando al Titular, describiendo los hechos que dan lugar al reclamo, indicando la dirección de notificaciones y acompañando los documentos que se quieran hacer valer.

Si el reclamo resulta incompleto, Sibell SAS requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción para que subsane las fallas. Transcurridos dos (2) meses desde el requerimiento sin que el reclamante presente la información requerida, se entenderá que ha desistido del reclamo.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

10.3 Requisito de procedibilidad ante la SIC

Conforme al parágrafo del artículo 16 de la Ley 1581 de 2012, el Titular sólo podrá elevar queja ante la SIC una vez haya agotado el trámite de consulta o reclamo ante Sibell SAS.

11. Manejo de Solicitudes sobre Datos Tratados como Encargado

Cuando una solicitud de Habeas Data se refiera a datos personales tratados por Sibell SAS en calidad de Encargado (por ejemplo, número de teléfono de un usuario final de una fintech cliente), Sibell SAS:

1. Recibirá la solicitud y dará acuse de recibo al Titular en máximo dos (2) días hábiles.
2. Identificará al Responsable del Tratamiento (el cliente corporativo).
3. Trasladará la solicitud al Responsable dentro de los dos (2) días hábiles siguientes para que este la atienda directamente conforme a su propia política de tratamiento.
4. Informará al Titular del traslado y del canal directo del Responsable cuando sea procedente.
5. Colaborará con el Responsable en la respuesta cuando este lo solicite y sin perjuicio de las obligaciones de confidencialidad pactadas en el respectivo Contrato de Encargo de Tratamiento.

12. Medidas de Seguridad

Sibell SAS aplica medidas técnicas, administrativas y humanas razonables y proporcionales para proteger los datos personales contra adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Entre estas se incluyen:

• Cifrado en tránsito mediante TLS 1.2 o superior para todas las comunicaciones que involucren datos personales.
• Cifrado en reposo para bases de datos y backups que contengan datos personales.
• Control de acceso basado en roles (RBAC) y principio de mínimos privilegios.
• Hash con sal de credenciales y de códigos OTP antes de su almacenamiento.
• Registros de auditoría sobre acceso y operaciones críticas sobre datos personales.
• Segmentación de redes mediante VPC en Google Cloud Platform.
• Backups cifrados periódicos con políticas de retención documentadas.
• Política de gestión de incidentes de seguridad con notificación oportuna a clientes y a la SIC cuando proceda.
• Capacitación periódica del personal en buenas prácticas de seguridad y protección de datos.
• Acuerdos de confidencialidad con empleados, contratistas y subencargados.

Más detalles sobre la arquitectura técnica se encuentran en la página Seguridad & Cumplimiento.

13. Retención y Supresión de Datos

Sibell SAS conservará los datos personales únicamente durante el tiempo razonable y necesario para cumplir las finalidades del tratamiento o lo exigido por la ley colombiana (obligaciones contables, tributarias, laborales y de prevención del fraude, entre otras).

Una vez cumplidas las finalidades y agotados los plazos de retención legal, los datos serán suprimidos de forma segura o anonimizados de manera irreversible.

14. Subencargados / Encargados de Sibell

Para la prestación de los servicios, Sibell SAS se apoya en proveedores de tecnología que actúan como Encargados o subencargados. La lista vigente incluye:

Esta lista podrá ser actualizada. La versión vigente puede solicitarse en privacidad@sibell.in.

15. Transferencias y Transmisiones Internacionales

Sibell SAS realiza transferencias internacionales de datos en virtud del uso de proveedores de tecnología con infraestructura fuera de Colombia (por ejemplo, Google Cloud Platform). Estas transferencias se realizan a países que cuentan con nivel adecuado de protección de datos o, en su defecto, mediante cláusulas contractuales que garantizan estándares equivalentes a los exigidos por la legislación colombiana.

Al aceptar esta política, el Titular autoriza dichas transferencias.

16. Cookies y Tecnologías Similares

El sitio web sibell.in utiliza cookies y tecnologías similares para mejorar la experiencia de navegación, recordar preferencias, analizar el uso del sitio y, cuando proceda, realizar mercadeo dirigido. La política específica de cookies se encuentra en sibell.in/cookies.

17. Autorización para el Tratamiento

La autorización del Titular se obtendrá previo al tratamiento, mediante:

• Marcación expresa de casilla de aceptación en formularios web (incluyendo el formulario de registro de cliente).
• Aceptación digital al firmar contratos o términos.
• Documento físico firmado, cuando aplique.
• Cualquier otro medio que permita acreditar la manifestación de voluntad del Titular.

La autorización podrá ser revocada en cualquier momento por los canales de la sección 9.

18. Aviso de Privacidad

Cuando, por excepción, no sea posible obtener la autorización previa, Sibell SAS pondrá a disposición del Titular un aviso de privacidad en los términos del artículo 14 del Decreto 1377 de 2013.

19. Registro Nacional de Bases de Datos (RNBD)

Sibell SAS evaluará periódicamente la obligación de registrar sus bases de datos personales ante el Registro Nacional de Bases de Datos administrado por la SIC, conforme a los umbrales definidos por la normativa vigente. En su rol principal de Encargado del Tratamiento, esta obligación no resulta aplicable mientras Sibell no retenga datos personales de usuarios finales bajo su propia responsabilidad.

20. Modificaciones

Sibell SAS podrá modificar esta política en cualquier momento. Las modificaciones serán comunicadas a través del sitio web sibell.in con al menos diez (10) días calendario de anticipación a su entrada en vigor. Los cambios sustanciales serán comunicados también por correo electrónico a los clientes activos.

21. Vigencia

Esta política entra en vigor el 15 de mayo de 2026 y permanecerá vigente hasta tanto sea modificada o derogada por Sibell SAS. Las bases de datos administradas tendrán vigencia indefinida mientras se cumplan las finalidades del tratamiento y mientras existan obligaciones legales o contractuales que justifiquen su conservación.