POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

Código: P-GQ-01

Versión: 01

Vigencia: 15 de febrero de 2026

1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Razón social: CODENULL S.A.S.

NIT: 901751909-1

Domicilio: Medellín, Colombia

Dirección: Calle 65 F 45 B 30

Sitio web: https://www.codenull.app/

Correo de contacto general: no-reply@codenullapp.com

Canal oficial para Habeas Data: no-reply@codenullapp.com

Codenull S.A.S. (en adelante, "Codenull") actúa como Responsable y/o Encargado del Tratamiento de datos personales, según aplique, y adopta la presente Política con el fin de garantizar el cumplimiento del régimen colombiano de protección de datos personales y la alineación con estándares internacionales aplicables en operaciones transfronterizas.

2. MARCO LEGAL

La presente Política se rige por las normas colombianas y lineamientos aplicables, incluyendo, sin limitarse a:

  • Constitución Política de Colombia, Artículo 15 (derecho a la intimidad y habeas data).
  • Ley 1581 de 2012 (régimen general de protección de datos personales).
  • Decreto 1377 de 2013 (reglamentación parcial).
  • Decreto 1074 de 2015 (compilatorio del sector comercio, industria y turismo).
  • Ley 1266 de 2008 (información financiera, crediticia y comercial, cuando aplique).
  • Circulares, guías y lineamientos expedidos por la Superintendencia de Industria y Comercio (SIC).

Para operaciones o transferencias internacionales, Codenull adopta principios compatibles con buenas prácticas globales (p. ej. licitud, minimización, finalidad, seguridad, responsabilidad demostrada y transparencia), sin perjuicio de obligaciones específicas que resulten aplicables por jurisdicción o por contrato con clientes empresariales.

3. ÁMBITO DE APLICACIÓN

Esta Política aplica a todo tratamiento de datos personales realizado por Codenull en medios físicos o digitales, incluyendo:

1. Datos tratados por Codenull como Responsable, entre otros:

  • Prospectos comerciales B2B (contactos profesionales)
  • Proveedores y aliados
  • Talento humano (empleados/contratistas)
  • Marketing, eventos, formularios, comunicaciones corporativas

2. Datos tratados por Codenull como Encargado, cuando procesa información por cuenta de clientes dentro de su plataforma (SaaS/low-code), bajo instrucciones del cliente y contrato aplicable.

Esta Política obliga a: colaboradores, contratistas, proveedores y terceros que, por autorización de Codenull, traten datos personales en nombre de la compañía.

4. DEFINICIONES

Para la interpretación de esta Política, se aplican las siguientes definiciones (conforme Ley 1581/2012 y normativa concordante):

  • Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
  • Aviso de Privacidad: comunicación verbal o escrita dirigida al Titular para informarle sobre la existencia de esta Política, la forma de acceder a ella y las finalidades del tratamiento.
  • Base de Datos: conjunto organizado de datos personales que sea objeto de tratamiento.
  • Dato Personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
  • Dato Público: dato que no es semiprivado, privado o sensible (por ejemplo, información contenida en registros públicos, o información profesional divulgada en medios de acceso público, según aplique).
  • Dato Privado: dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.
  • Dato Semiprivado: dato que no tiene naturaleza íntima, reservada ni pública, cuyo conocimiento puede interesar al Titular y a cierto sector o grupo de personas.
  • Dato Sensible: dato que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones religiosas, datos de salud, biométricos, etc.).
  • Encargado del Tratamiento: persona natural o jurídica que realiza el tratamiento por cuenta del Responsable.
  • Responsable del Tratamiento: persona natural o jurídica que decide sobre la base de datos y/o el tratamiento.
  • Titular: persona natural cuyos datos personales son objeto de tratamiento.
  • Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación o supresión).
  • Transferencia: envío de datos personales a un receptor que actúa como Responsable (dentro o fuera de Colombia).
  • Transmisión: comunicación de datos personales para que un Encargado trate datos por cuenta del Responsable (dentro o fuera de Colombia).
  • Responsabilidad demostrada (Accountability): capacidad de evidenciar (documentalmente) decisiones, controles y medidas implementadas para cumplir el régimen de protección de datos.

5. PRINCIPIOS

Codenull aplicará los principios establecidos en la Ley 1581 de 2012 y mejores prácticas internacionales:

  1. Legalidad: el tratamiento es una actividad reglada y se sujeta a lo previsto en la ley.
  2. Finalidad: el tratamiento debe obedecer a una finalidad legítima, informada y compatible con el objeto del servicio o relación.
  3. Libertad: el tratamiento sólo puede ejercerse con autorización del Titular, salvo excepciones legales.
  4. Veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada y comprobable.
  5. Transparencia: se garantiza el derecho del Titular a obtener información sobre la existencia y uso de sus datos.
  6. Acceso y circulación restringida: los datos sólo serán tratados por personas autorizadas, evitando su divulgación indiscriminada.
  7. Seguridad: se adoptan medidas técnicas, humanas y administrativas para proteger la información.
  8. Confidencialidad: quienes intervengan en el tratamiento deben garantizar reserva aun después de terminada la relación.
  9. Minimización y proporcionalidad: se recolectan y tratan sólo los datos estrictamente necesarios, evitando excesos.
  10. Responsabilidad demostrada: Codenull mantiene evidencia de sus controles, procedimientos y respuesta ante solicitudes o incidentes.

6. DERECHOS DEL TITULAR DE LA INFORMACIÓN

El Titular podrá ejercer, entre otros, los siguientes derechos:

  • Conocer, actualizar y rectificar sus datos personales.
  • Solicitar prueba de la autorización otorgada, cuando aplique.
  • Ser informado sobre el uso dado a sus datos personales.
  • Presentar quejas ante la SIC por infracción a la ley.
  • Revocar la autorización y/o solicitar la supresión de sus datos cuando sea procedente.
  • Acceder de manera gratuita a sus datos personales, al menos una vez al mes, o cuando existan modificaciones sustanciales.

No se tratarán datos sensibles ni información privada no relacionada con actividad empresarial.

7. DEBERES DE CODENULL COMO RESPONSABLE Y/O ENCARGADO

7.1 Deberes como Responsable cuando Codenull decide finalidades/medios

Codenull se compromete a:

  • Garantizar el pleno ejercicio de los derechos del Titular.
  • Solicitar autorización cuando sea requerida y conservar prueba cuando aplique.
  • Informar finalidad del tratamiento y derechos del Titular.
  • Conservar la información bajo medidas de seguridad.
  • Rectificar/actualizar información cuando sea procedente.
  • Tramitar consultas y reclamos dentro de los términos legales.
  • Adoptar esta política para cumplimiento.
  • Informar a la SIC cuando sea procedente en casos de incidentes relevantes o requerimientos oficiales.

7.2 Deberes como Encargado cuando trata datos por cuenta de clientes

Codenull:

  • Tratará los datos conforme a instrucciones del cliente/Responsable y lo pactado contractualmente.
  • Implementará medidas de seguridad alineadas con buenas prácticas corporativas.
  • No usará los datos del cliente para fines propios no autorizados.
  • Apoyará al cliente en atención de solicitudes de titulares cuando corresponda al entorno y al contrato.

8. AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR

8.1 Regla general

Codenull solicitará autorización previa, expresa e informada cuando sea requerida por la ley para el tratamiento de datos personales.

8.2 Medios para obtener autorización

La autorización podrá obtenerse mediante:

  • Documentos físicos firmados.
  • Formularios electrónicos, checkboxes y aceptación en páginas web.
  • Mensajes de datos (email), aceptación de términos, grabaciones autorizadas.
  • Registro voluntario en eventos, webinars o formularios.
  • Cualquier mecanismo que permita evidenciar conducta inequívoca del Titular, como responder ante un correo o mensaje con fines únicamente profesionales/comerciales.

8.3 Casos en los que no se requiere autorización (según ley)

Codenull podrá tratar datos sin autorización cuando se configure alguna excepción legal, por ejemplo:

  • Información requerida por entidad pública o administrativa en ejercicio de sus funciones.
  • Datos de naturaleza pública.
  • Casos de urgencia médica o sanitaria (no usual en Codenull).
  • Tratamiento autorizado por la ley para fines históricos, estadísticos o científicos, bajo condiciones.
  • Datos relacionados con el Registro Civil (no usual en Codenull).

Nota importante para prospección B2B: Cuando se trate de contactos profesionales (nombre/cargo/empresa/correo corporativo/teléfono de contacto), Codenull aplicará estrictamente los principios de minimización, proporcionalidad, finalidad empresarial y derecho de oposición/supresión inmediata.

9. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES

Codenull podrá realizar operaciones de recolección, almacenamiento, uso, circulación y supresión, según corresponda.

9.1 Tipos de titulares y bases de datos (clasificación)

Codenull puede tratar datos de:

  • Clientes corporativos (personas de contacto, administradores, usuarios designados).
  • Usuarios finales (cuando el cliente decide capturarlos dentro de su aplicación y Codenull opera como Encargado).
  • Prospectos comerciales B2B (contactos profesionales).
  • Proveedores/aliados.
  • Talento humano (empleados/contratistas).
  • Visitantes web (cookies/analítica, cuando aplique).

9.2 Tipos de datos que Codenull puede recolectar

  • Identificación y contacto profesional: nombre, cargo, empresa, email corporativo, teléfono profesional, ciudad/país.
  • Datos contractuales: condiciones, propuestas, comunicaciones, históricos comerciales.
  • Datos técnicos: registros de auditoría, logs, metadatos de seguridad, IP, eventos de acceso (alineado a seguridad).
  • Datos de facturación/pagos (cuando aplique).
  • Datos laborales (cuando aplique).

Codenull no solicita datos sensibles para fines comerciales. Si llegaran a tratarse por excepción (p. ej. salud en un cliente específico), se realizará bajo condiciones estrictas y autorización expresa cuando aplique.

9.3 Finalidades por categoría

A) Clientes y usuarios de plataforma (Codenull como Responsable y/o Encargado)

  • Prestación del servicio y operación de la plataforma.
  • Gestión de cuentas, usuarios, roles y accesos.
  • Soporte técnico, mantenimiento y mejoras.
  • Seguridad de la información (prevención de fraude, incidentes, auditoría).
  • Cumplimiento contractual, legal y contable.
  • Comunicaciones relacionadas con el servicio (alertas, cambios, mantenimiento).

B) Prospectos comerciales B2B (Codenull como Responsable)

  • Contacto profesional individual para presentar servicios/soluciones.
  • Agendamiento y seguimiento razonable de reuniones.
  • Envío de información corporativa (casos de uso, demos, webinars) de forma proporcional.
  • Gestión de oportunidades comerciales en CRM.
  • Medición de efectividad de campañas B2B (agregada/no invasiva).

C) Proveedores y aliados

  • Gestión contractual, compras y pagos.
  • Debida diligencia y evaluación de proveedores.
  • Cumplimiento tributario y contable.

D) Talento humano

  • Selección, contratación, nómina, seguridad social, cumplimiento legal laboral.
  • Gestión de accesos y seguridad (según rol).

9.4 Fuentes de recolección

Codenull puede recolectar datos desde:

  • Formularios web y registros voluntarios.
  • Interacciones directas (reuniones, correo corporativo, llamadas).
  • Sitios web corporativos y directorios empresariales.
  • Redes profesionales (p. ej., LinkedIn) en contexto profesional.
  • Plataformas de inteligencia comercial B2B y herramientas de prospección.

Limitación clave: En prospección B2B, Codenull restringirá el uso a datos de naturaleza profesional y ofrecerá mecanismo inmediato de oposición/supresión.

9.5 Operaciones del tratamiento (ciclo de vida)

  • Recolección: por canales definidos y bajo finalidad.
  • Almacenamiento: en sistemas propios y/o proveedores cloud con controles.
  • Uso: para finalidades definidas y bajo mínimo acceso necesario.
  • Circulación/Transmisión: a terceros autorizados por contrato o por el Titular.
  • Supresión: cuando el Titular lo solicite y sea procedente, o por vencimiento de retención.

10. AVISO DE PRIVACIDAD

Codenull pondrá a disposición del Titular un Aviso de Privacidad, en lenguaje claro, indicando:

  • Identidad del Responsable y canales de contacto.
  • Remisión a esta Política.

Importante (canales como WhatsApp): Codenull podrá usar avisos breves y proporcionales al canal, incluyendo un mecanismo de "opt-out" (no contacto) y remisión a la Política pública. Esto permite ser transparente sin saturar al Titular con textos extensos en el primer contacto.

11. GARANTÍAS DEL DERECHO AL ACCESO

Codenull garantiza:

  • Acceso gratuito a los datos del Titular, conforme a ley.
  • Respuesta clara, comprensible y verificable.
  • Verificación previa de identidad o legitimación (Titular o autorizado).
  • Medios de respuesta: email, documento digital, u otro canal razonable.
  • Registro de solicitudes para trazabilidad y cumplimiento.

12. PROCEDIMIENTOS PARA CONSULTAS, RECLAMOS, RECTIFICACIÓN, ACTUALIZACIÓN Y SUPRESIÓN

12.1 Canales habilitados

Las solicitudes deben enviarse a: no-reply@codenullapp.com
Asunto sugerido: "Habeas Data – Consulta/Reclamo"

12.2 Reglas de verificación

Codenull podrá solicitar información para verificar identidad y legitimación del solicitante. Si actúa un tercero, deberá acreditar autorización.

12.3 Consultas

  • El Titular puede solicitar información sobre sus datos.
  • Codenull responderá en máximo diez (10) días hábiles contados desde la fecha de recibo.
  • Si no es posible responder en dicho término, se informará la razón y se dará respuesta dentro de los plazos legales aplicables.

12.4 Reclamos

El reclamo debe contener como mínimo:

  • Identificación del Titular.
  • Descripción de los hechos.
  • Dirección/correo para notificaciones.
  • Documentos de soporte (si aplica).

Si el reclamo está incompleto: se requerirá al interesado para que subsane.
Durante el trámite: Codenull podrá incluir la leyenda "reclamo en trámite" en la base correspondiente cuando aplique.
El término máximo para resolver reclamos es quince (15) días hábiles desde su recepción. Si no es posible, se informará al Titular y se resolverá dentro del marco legal permitido.

12.5 Rectificación y actualización

Codenull rectificará o actualizará datos inexactos, incompletos o desactualizados, cuando proceda.

12.6 Supresión y revocatoria

El Titular puede solicitar supresión de sus datos y/o revocar la autorización. La supresión no procederá cuando exista un deber legal o contractual de conservar la información, o cuando la información sea necesaria para cumplimiento de obligaciones.

12.7 Oposición comercial y supresión inmediata

Cuando un Titular manifieste de forma expresa que no desea ser contactado o se oponga al tratamiento con fines comerciales:

  • Codenull cesará el contacto por ese canal.
  • Realizará bloqueo y/o supresión del dato de sus bases comerciales activas.
  • Dejará evidencia interna de la atención (fecha, canal, acción ejecutada).

13. REGISTRO NACIONAL DE BASE DE DATOS (RNBD)

Codenull realizará la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos cuando esté obligada conforme los criterios definidos por la SIC y la normativa vigente.

Codenull actualizará el RNBD cuando aplique y atenderá los deberes de reporte exigidos por el régimen colombiano.

14. SEGURIDAD DE LA INFORMACIÓN Y MEDIDAS DE SEGURIDAD

Codenull implementa controles administrativos, técnicos y organizacionales, bajo enfoque basado en riesgos, incluyendo:

14.1 Medidas administrativas

  • Definición de roles y responsabilidades.
  • Acuerdos de confidencialidad con colaboradores/contratistas.
  • Gestión de accesos por necesidad (least privilege).
  • Capacitación y concientización interna.

14.2 Medidas técnicas

  • Autenticación y gestión de identidades.
  • Controles de acceso a sistemas y datos.
  • Registro y monitoreo de eventos de seguridad.
  • Cifrado cuando aplique (en tránsito y/o en reposo).
  • Controles de respaldo y continuidad (según arquitectura).

14.3 Medidas organizacionales

  • Procedimiento de gestión de incidentes.
  • Segregación de ambientes y control de cambios.
  • Evaluación y gestión de proveedores tecnológicos.

15. UTILIZACIÓN Y TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Codenull podrá transmitir datos a proveedores tecnológicos (cloud, CRM, email, analítica, soporte) ubicados dentro o fuera de Colombia, cuando sea necesario para:

  • Prestación del servicio SaaS
  • Soporte y operación
  • Seguridad
  • Gestión comercial y contractual

Para ello, Codenull procurará:

  • Cláusulas contractuales de confidencialidad y protección de datos.
  • Medidas de seguridad adecuadas.
  • Evaluaciones razonables de riesgo de proveedores.
  • Limitación de acceso y tratamiento a lo estrictamente necesario.

Cuando exista transferencia (receptor actúa como Responsable), Codenull velará porque exista base legal y garantías apropiadas.

16. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES

Codenull actúa como:

  • Encargado: cuando trata datos por cuenta de clientes dentro de su plataforma, según contrato e instrucciones del cliente.
  • Responsable: cuando trata sus propias bases (prospectos B2B, proveedores, talento humano, administración, marketing, etc.).

Codenull mantendrá mecanismos de control para separar y administrar adecuadamente ambos escenarios y asegurar que los datos de clientes (Encargado) no se utilicen para fines comerciales propios.

17. MATRIZ DE RIESGOS AMPLIADA DE TRATAMIENTO DE DATOS PERSONALES

Nota: Esta matriz se establece para cubrir tanto a Codenull como Responsable (prospectos/marketing/talento humano/proveedores) como Encargado (datos de clientes dentro del SaaS).

  • Probabilidad (P): Baja / Media / Alta
  • Impacto (I): Bajo / Medio / Alto
  • Nivel de riesgo: resultado cualitativo (Bajo / Medio / Alto)
  • Evidencia: lo que tú muestras en auditoría (procedimiento, registro, contrato, etc.)
Actividad / Proceso Categoría de datos Riesgo P I Nivel Controles / mitigación Evidencia requerida
Prospección B2B en CRM (registro de leads) Nombre, cargo, empresa, email corporativo, tel. profesional Queja por contacto no deseado / falta de autorización M M Medio Minimización; contacto individual; finalidad B2B; opt-out inmediato; supresión/bloqueo en base activa; no insistencia Registro de exclusión; políticas publicadas; bitácora CRM; evidencia de supresión
Contacto por WhatsApp (frío) Teléfono (posible celular), nombre Percepción de invasión / queja ante SIC M A Medio–Alto 1 solo intento; mensaje proporcional; remisión a política; opción "no contacto"; supresión inmediata si hay oposición; lista de exclusión permanente Captura conversación; registro de supresión; lista "Do Not Contact"; registro interno
Email frío corporativo Email corporativo Reclamo por spam / uso indebido M M Medio Asunto y contenido proporcional, opt-out; remisión a política frecuencia limitada; Footer legal; log envío; lista exclusión, supresión Log envío; lista exclusión; footer legal; registro supresión
LinkedIn outreach Perfil profesional público Reclamo reputacional B M Bajo Mensajes cortos; no automatización agresiva; respeto a negativa Capturas; registro de exclusión
Formularios web (demo, contacto) Nombre, correo, empresa, cargo Consentimiento insuficiente / falta de prueba M M Medio Checkbox de autorización; link a política; logs de consentimiento Registro timestamp; screenshot del formulario; BD de consentimientos
Eventos / webinars Nombre, correo, empresa Uso distinto a finalidad M M Medio Finalidad clara; consentimiento; comunicaciones profesionales/comerciales; opt-out Copy del formulario + base con consentimiento
Publicidad y remarketing Cookies, IP, analítica Tratamiento sin aviso M M Medio Banner cookies; política cookies; configuración de consentimiento Banner + registro CMP (si aplica)

18. VIGENCIA

La presente Política rige a partir de su publicación el día 15 de febrero de 2026 y podrá ser actualizada.

Las modificaciones sustanciales se comunicarán por medios razonables (web, email u otros canales corporativos).

Codenull conservará control de versiones y evidencia de actualización.

Información de Contacto

Para ejercer sus derechos de Habeas Data:

no-reply@codenullapp.com

Asunto sugerido: "Habeas Data – Consulta/Reclamo"