Política de Tratamiento de Datos Personales (Habeas Data)
CARROPAGO S.A.S. — Mandapayá · Ley 1581 de 2012
1. Objeto
Esta política establece los principios, finalidades y procedimientos que CARROPAGO S.A.S. (en adelante "Mandapayá" o "la Empresa") aplica al tratamiento de datos personales recolectados en el desarrollo de sus actividades comerciales, en cumplimiento de la Ley 1581 de 2012 y sus decretos reglamentarios.
2. Alcance
Esta política aplica al tratamiento de datos personales de:
- Usuarios: toda persona natural que se registre o interactúe con la plataforma.
- Clientes: usuarios que realicen al menos una transacción.
- Beneficiarios: personas naturales designadas como destinatarias de pagos móviles o gift cards.
- Aliados comerciales: embajadores, referidores y partners que actúen como canal de comercialización.
- Colaboradores: empleados y contratistas de CARROPAGO S.A.S.
Cubre los datos recolectados a través de todos los canales: aplicación web, WhatsApp, integraciones de pago (PSE, Nequi, Daviplata, Efecty, AAVANCE, MERU) y atención al cliente.
3. Marco Normativo
| Norma | Descripción |
|---|---|
| Artículo 15 de la Constitución Política | Derecho a la intimidad y al buen nombre. Derecho a conocer, actualizar y rectificar datos personales. |
| Ley 1581 de 2012 | Régimen General de Protección de Datos Personales en Colombia. |
| Decreto 1377 de 2013 | Reglamentación parcial de la Ley 1581 de 2012. |
| Decreto 1074 de 2015 | Decreto Único Reglamentario del sector Comercio, Industria y Turismo (Título 26 — Protección de Datos). |
| Ley 1266 de 2008 | Habeas Data — aplicable a datos financieros y crediticios. |
| Ley 527 de 1999 | Comercio electrónico — validez jurídica de mensajes de datos. |
4. Datos Personales Recolectados
4.1. Datos de identificación
| Dato | Obligatorio | Momento de captura |
|---|---|---|
| Nombre completo | Sí | Registro |
| Tipo de documento (CC, CE, Pasaporte) | Sí (KYC Nivel 2) | Verificación progresiva |
| Número de documento | Sí (KYC Nivel 2) | Verificación progresiva |
4.2. Datos de contacto
| Dato | Obligatorio | Momento de captura |
|---|---|---|
| Número de teléfono | Sí | Registro |
| Correo electrónico | Sí | Registro |
4.3. Datos transaccionales
| Dato | Obligatorio | Momento de captura |
|---|---|---|
| Historial de transacciones | Automático | Cada operación |
| Montos | Automático | Cada operación |
| Canal de pago utilizado | Automático | Cada operación |
| Datos del beneficiario (nombre, cédula, teléfono, banco) | Sí | Cada transacción |
| Estado de la transacción | Automático | Cada operación |
4.4. Datos técnicos
| Dato | Obligatorio | Momento de captura |
|---|---|---|
| Dirección IP | Automático | Cada sesión |
| Dispositivo y navegador | Automático | Cada sesión |
| Fecha y hora de acceso | Automático | Cada sesión |
4.5. Datos sensibles
| Dato | Obligatorio | Momento de captura |
|---|---|---|
| Imagen de selfie con documento de identidad | Sí (KYC Nivel 3) | Verificación de identidad |
5. Finalidad del Tratamiento
5.1. Finalidades principales (necesarias para la prestación del servicio)
- Prestación del servicio: procesar transacciones de compra de gift cards y envío de pagos móviles.
- Validación de identidad (KYC): verificar la identidad del usuario en el proceso de Conocimiento del Cliente.
- Prevención de fraude y LA/FT: alimentar el SARLAFT para prevenir lavado de activos y financiación del terrorismo.
- Cumplimiento legal: obligaciones legales, tributarias y regulatorias.
- Facturación electrónica: emitir y reportar facturas ante la DIAN.
- Atención al usuario: responder solicitudes, quejas y reclamos.
- Seguridad de la plataforma: proteger la cuenta del usuario y prevenir accesos no autorizados.
5.2. Finalidades secundarias (opcionales, con autorización)
- Mejora del servicio: analizar patrones de uso para mejorar la experiencia.
- Comunicaciones comerciales: informar sobre nuevos productos, promociones o actualizaciones.
El usuario puede revocar su autorización para las finalidades secundarias sin afectar la prestación del servicio principal.
6. Datos Sensibles
6.1. Qué datos sensibles recolecta Mandapayá
Mandapayá recolecta un único dato sensible: la imagen de selfie con documento de identidad, utilizada exclusivamente como mecanismo de validación visual dentro del proceso KYC.
6.2. Características del tratamiento
- La selfie consiste en una fotografía del usuario sosteniendo su documento de identidad (CC, CE o pasaporte).
- La validación es visual y manual: un funcionario autorizado (Oficial de Cumplimiento) compara la imagen con los datos registrados.
- No se utilizan sistemas biométricos avanzados, reconocimiento facial automatizado ni IA para procesar la imagen.
- La imagen no se utiliza para perfilamiento, publicidad ni ninguna finalidad distinta a la verificación de identidad.
6.3. Consentimiento reforzado
Dado que las imágenes con documento constituyen datos sensibles conforme a la Ley 1581 de 2012, su recolección requiere autorización expresa, previa e informada. El titular:
- Es informado de la naturaleza sensible del dato antes de la captura.
- Autoriza de forma explícita el uso para fines de verificación de identidad.
- Puede negarse a proporcionar la imagen: no se bloquearán sus operaciones, pero su perfil de riesgo podrá verse afectado conforme al SARLAFT.
6.4. Almacenamiento de imágenes
- Se almacenan en sistemas de archivos seguros con acceso restringido.
- Solo el Oficial de Cumplimiento y personal autorizado acceden a las imágenes.
- Se procesan automáticamente (compresión, redimensión) sin alterar su contenido.
- Las URLs de acceso no son públicas ni predecibles.
7. Derechos del Titular
| Derecho | Descripción |
|---|---|
| Acceso | Conocer los datos personales que Mandapayá tiene sobre el titular y el uso que se les da. |
| Actualización | Solicitar la actualización de datos inexactos o incompletos. |
| Rectificación | Corregir datos personales que contengan errores. |
| Supresión | Solicitar la eliminación de datos cuando no exista obligación legal que lo impida. |
| Revocatoria | Revocar la autorización otorgada para el tratamiento, total o parcialmente. |
| Consulta | Presentar consultas sobre los datos almacenados. |
| Reclamo | Presentar reclamos cuando considere que sus derechos han sido vulnerados. |
Limitaciones
Los derechos de supresión y revocatoria pueden estar limitados cuando:
- Exista una obligación legal o contractual que exija la conservación de los datos (ej. obligaciones tributarias ante la DIAN o conservación por 5 años conforme al SARLAFT).
- Los datos sean necesarios para el cumplimiento de un contrato del que el titular sea parte.
- Los datos sean requeridos por una autoridad competente en ejercicio de sus funciones.
8. Procedimiento para Ejercer Derechos
8.1. Canal de atención
Toda solicitud debe dirigirse a: soporte@mandapaya.app
Asunto sugerido: "Protección de Datos — [tipo de solicitud]"
8.2. Contenido de la solicitud
- Nombre completo del titular.
- Número de documento de identidad.
- Descripción clara de la solicitud (acceso, actualización, rectificación, supresión o revocatoria).
- Datos de contacto para respuesta.
- Documentos de soporte, si aplica.
8.3. Tiempos de respuesta
| Tipo de solicitud | Plazo de respuesta |
|---|---|
| Consultas | Máximo 10 días hábiles. Prorrogable por 5 días hábiles adicionales, informando al titular. |
| Reclamos | Máximo 15 días hábiles. Prorrogable por 8 días hábiles adicionales, informando al titular. |
8.4. Proceso
- El titular envía la solicitud al correo indicado.
- Mandapayá acusa recibo dentro de los 2 días hábiles siguientes.
- Se verifica la identidad del solicitante para evitar accesos no autorizados.
- Se procesa la solicitud dentro de los plazos establecidos.
- Se comunica la respuesta por el medio indicado.
Si la solicitud está incompleta, se pedirá al titular que la complemente dentro de los 5 días hábiles siguientes. De no hacerlo, se entenderá desistida.
9. Autorización del Titular
9.1. Consentimiento previo
Mandapayá obtiene la autorización del titular antes de recolectar y tratar sus datos, de manera expresa, informada y previa.
9.2. Registro de autorización
| Campo | Detalle |
|---|---|
| Timestamp | Fecha y hora exacta de la aceptación |
| IP de origen | Dirección IP desde la cual se otorgó la autorización |
| Dispositivo | Tipo de dispositivo y navegador utilizado |
| Versión de la política | Versión de la política aceptada |
| Canal | Medio por el cual se otorgó (web, app, WhatsApp) |
9.3. Autorización para datos sensibles (KYC)
Cuando el usuario sube una imagen de selfie con documento, se solicita una autorización específica y reforzada que incluye: descripción clara del dato, finalidad específica (verificación de identidad), indicación de que el dato es sensible, confirmación de que la entrega es voluntaria y aclaración de que la negativa no impide el uso básico de la plataforma.
9.4. Revocatoria
El titular puede revocar su autorización en cualquier momento enviando una solicitud a soporte@mandapaya.app. Se procesa dentro de los 15 días hábiles siguientes. Puede implicar la imposibilidad de continuar prestando el servicio cuando los datos sean necesarios para la operación, y no aplica cuando exista una obligación legal de conservación.
10. Transferencia y Transmisión de Datos
10.1. Definiciones
| Concepto | Descripción |
|---|---|
| Transferencia | Entrega de datos a un tercero que actúa como responsable del tratamiento (decide sobre el uso de los datos). |
| Transmisión | Entrega de datos a un tercero que actúa como encargado del tratamiento (procesa por cuenta de Mandapayá). |
10.2. Terceros con quienes se comparten datos
| Tercero | Tipo | Datos | País | Finalidad |
|---|---|---|---|---|
| Pasarelas de pago (PSE, Nequi, Daviplata) | Transmisión | Datos de pago | Colombia | Procesamiento de transacciones |
| Efecty | Transmisión | Datos de recaudo | Colombia | Procesamiento de pagos en efectivo |
| Partners de redención (MERU, AAVANCE) | Transmisión | Datos de beneficiario | Venezuela | Ejecución de pagos móviles |
| Bancos destino | Transmisión | Datos de beneficiario | Venezuela | Ejecución de pagos móviles |
| DIAN | Transferencia | Datos de facturación | Colombia | Facturación electrónica |
| Proveedores de infraestructura | Transmisión | Datos almacenados | Puede incluir servidores fuera de Colombia | Alojamiento y procesamiento |
| Proveedores de almacenamiento (S3, R2 o equivalentes) | Transmisión | Archivos e imágenes | Puede incluir servidores fuera de Colombia | Almacenamiento seguro |
10.3. Transferencia internacional
- Se verifica que el país receptor cuente con niveles adecuados de protección, conforme al Decreto 1377 de 2013.
- Se aplican medidas contractuales y técnicas para proteger la confidencialidad e integridad.
- Los proveedores cumplen con estándares internacionales (SOC 2, ISO 27001 o equivalentes).
10.4. Restricciones
- Los datos personales no se venden, alquilan ni comercializan a terceros.
- Los datos no se comparten con fines publicitarios de terceros.
- Los datos se comparten únicamente cuando es necesario para la prestación del servicio o el cumplimiento de obligaciones legales.
11. Seguridad de la Información
11.1. Medidas técnicas
| Medida | Descripción |
|---|---|
| Cifrado en tránsito | Todas las comunicaciones se realizan a través de HTTPS (TLS). |
| Cifrado de datos sensibles | Contraseñas almacenadas con cifrado AES-256-GCM. |
| Control de acceso | Acceso basado en roles (RBAC). |
| Autenticación reforzada | Autenticación de doble factor (2FA) para cuentas administrativas. |
| Almacenamiento seguro de imágenes | Imágenes KYC en sistemas de archivos con acceso restringido y URLs no públicas. |
| Logs de auditoría | Registro de acciones administrativas con timestamp y usuario responsable. |
| Respaldos | Respaldos periódicos de bases de datos en ubicaciones separadas. |
11.2. Medidas organizacionales
- Política de acceso mínimo: cada colaborador accede solo a lo necesario para su función.
- Capacitación periódica en protección de datos y seguridad de la información.
- Procedimiento documentado para gestión de incidentes de seguridad.
- Acuerdos de confidencialidad con colaboradores y contratistas.
11.3. Manejo de imágenes
- Se almacenan en sistemas de archivos privados, no accesibles desde internet sin autenticación.
- Se optimizan automáticamente para reducir el riesgo de exposición.
- Solo el Oficial de Cumplimiento y personal autorizado acceden a ellas.
- No se indexan ni se incluyen en motores de búsqueda.
11.4. Incidentes de seguridad
- Se identifica y contiene el incidente.
- Se evalúa el alcance y los datos afectados.
- Se notifica a los titulares afectados cuando el incidente represente un riesgo significativo.
- Se notifica a la Superintendencia de Industria y Comercio (SIC) cuando corresponda.
- Se documenta el incidente y las acciones correctivas adoptadas.
12. Conservación de Datos
12.1. Plazo de conservación
| Tipo de dato | Plazo | Justificación |
|---|---|---|
| Datos de identificación y contacto | 5 años desde la última interacción | Obligaciones legales y comerciales |
| Datos transaccionales | 5 años desde la fecha de la transacción | Obligaciones tributarias (DIAN) y SARLAFT |
| Registros KYC (datos y estados) | 5 años desde la verificación | SARLAFT y obligaciones de conservación |
| Imágenes KYC | 5 años desde la verificación | SARLAFT y obligaciones de conservación |
| Logs de auditoría | 5 años desde el registro | Trazabilidad y auditoría |
| Autorizaciones de tratamiento | 5 años desde la revocatoria o terminación | Soporte probatorio |
12.2. Eliminación
Cumplido el plazo y si no hay obligación legal que lo impida, los datos se eliminan de forma segura de todas las bases de datos, las imágenes KYC se eliminan del sistema de archivos y se conserva un registro anonimizado de la eliminación.
13. Modificaciones a la Política
CARROPAGO S.A.S. se reserva el derecho de modificar esta política. Cuando se realicen cambios sustanciales:
- Se actualizará la fecha de "última actualización" en el encabezado.
- Se notificará a los usuarios por correo electrónico o notificación en la plataforma.
- Se publicará la nueva versión en el sitio web y en la aplicación.
- Se solicitará nueva autorización cuando los cambios afecten las finalidades o involucren datos sensibles.
El uso continuado de la plataforma después de la publicación de los cambios constituye la aceptación de la nueva política, salvo que se requiera autorización expresa.
14. Vigencia
Esta política entra en vigor el 7 de abril de 2026 y permanece vigente mientras CARROPAGO S.A.S. realice tratamiento de datos personales conforme a las finalidades aquí descritas.
15. Contacto
| Canal | Detalle |
|---|---|
| Correo electrónico | soporte@mandapaya.app |
| Asunto sugerido | "Protección de Datos — [tipo de solicitud]" |
| Responsable | Oficial de Cumplimiento — CARROPAGO S.A.S. |
Si el titular no recibe respuesta satisfactoria dentro de los plazos establecidos, puede acudir ante la Superintendencia de Industria y Comercio (SIC) como autoridad de protección de datos en Colombia:
- Sitio web: www.sic.gov.co
- Línea telefónica: (601) 587 0000
Documento de CARROPAGO S.A.S. — Publicación autorizada para usuarios, clientes y público general.
Versión 1.0 — Abril 2026 · Última actualización: 16/4/2026