Política de Tratamiento de Datos Personales

1. Identificación del Responsable

SMARTCLIC SAS (en adelante “Smartclic”), con NIT 902054183-3, domicilio en Pitalito, Huila, Colombia, correo de contacto: legal@smartclic.com.co, es la empresa responsable del tratamiento de los datos personales recibidos en su calidad de prestadora de servicios tecnológicos SaaS.

En su relación con sus clientes empresariales (comercios registrados en Order Clic), Smartclic actúa como Encargado del Tratamiento de los datos de los clientes finales del comercio. El comercio es el Responsable del Tratamiento y debe garantizar las autorizaciones de sus titulares conforme a la Ley 1581 de 2012.

2. Marco Legal

Esta política se fundamenta en:

• Ley 1581 de 2012 — Protección de Datos Personales (Habeas Data)
• Decreto 1377 de 2013 — Reglamentación parcial de la Ley 1581
• Ley 527 de 1999 — Comercio Electrónico y firma digital
• Ley 1480 de 2011 — Estatuto del Consumidor
• Circular Externa 02 de 2015 — SIC, instrucciones sobre seguridad de la información

3. Datos Personales Recolectados

Smartclic recolecta las siguientes categorías de datos:

• Datos de identificación: nombre, apellidos, número de identificación, NIT.
• Datos de contacto: dirección, teléfono, correo electrónico.
• Datos comerciales: razón social, actividad económica, información de facturación.
• Datos de acceso: credenciales cifradas (contraseñas con hash), dirección IP, User-Agent, logs de sesión.
• Datos financieros: referencias de transacciones Wompi (nunca datos de tarjetas, que son manejados exclusivamente por Wompi/Bancolombia).
• Datos de uso: historial de ventas, inventarios, reportes operacionales ingresados por el comercio en la plataforma.

3.1 Datos Sensibles — Módulo Gimnasio

Si el Cliente ha habilitado el módulo gimnasio, la plataforma puede procesar datos de salud de los miembros (métricas corporales, historial de asistencia). Estos datos son ingresados directamente por el Cliente, quien actúa como Responsable del Tratamiento y debe obtener autorización expresa de sus miembros. Smartclic los trata únicamente como Encargado y no los usa para fines propios.

4. Finalidades del Tratamiento

Los datos recolectados se usan para:

• Prestación y soporte del servicio SaaS Order Clic.
• Gestión de la relación comercial: facturación, cobros, renovaciones de suscripción.
• Envío de comunicaciones transaccionales (alertas de caja, cierre de ventas, bienvenida).
• Cumplimiento de obligaciones legales y fiscales (información a la DIAN, SIC).
• Auditoría contractual: registro inmutable de aceptación del contrato SaaS (Ley 527/1999).
• Mejora del servicio mediante análisis agregado y anonimizado de uso.
• Prevención de fraude y garantía de seguridad de la plataforma.

5. Derechos de los Titulares (ARCO)

De conformidad con el artículo 8 de la Ley 1581 de 2012, los titulares tienen derecho a:

• Acceso: conocer los datos personales que Smartclic trata sobre usted.
• Rectificación: corregir datos inexactos, incompletos o desactualizados.
• Cancelación/Supresión: solicitar la eliminación de sus datos cuando no sea necesario su tratamiento, salvo obligación legal.
• Oposición: negarse al tratamiento para finalidades no esenciales (por ejemplo, comunicaciones de marketing).
• Revocación: retirar la autorización dada, en cualquier momento.

Para ejercer sus derechos envíe solicitud escrita a legal@smartclic.com.cocon asunto “DERECHOS ARCO”, indicando: nombre completo, identificación, derecho a ejercer y descripción de la solicitud. Smartclic responderá dentro de los 15 días hábiles siguientes.

6. Seguridad de la Información

Smartclic implementa las siguientes medidas de seguridad técnica y organizacional:

• Cifrado de contraseñas con hash bcrypt (factor de costo ≥ 12).
• Cifrado AES-256-CBC para credenciales de terceros (Factus, DIAN).
• Comunicaciones cifradas con TLS 1.2+ en todos los endpoints.
• Firma de integridad SHA-256 en transacciones de pago (Wompi).
• Rate limiting y protección CAPTCHA anti-bot en formularios de registro.
• Auditoría inmutable de aceptaciones contractuales (tabla contrato_aceptacion).
• Copias de seguridad diarias de la base de datos con retención mínima de 30 días.
• Control de acceso basado en roles con principio de mínimo privilegio.

7. Transferencia Internacional de Datos

Los datos pueden ser procesados por proveedores de infraestructura en la nube ubicados fuera de Colombia (Amazon Web Services y/o Google Cloud Platform). Estos proveedores cuentan con certificaciones internacionales de seguridad (ISO 27001, SOC 2) y ofrecen garantías adecuadas de protección equivalentes a las exigidas por la legislación colombiana. Smartclic celebra con ellos los contratos de encargado del tratamiento correspondientes (DPA).

También se transfieren datos a Resend Inc. (plataforma de correo transaccional) y Wompi S.A.S. (pasarela de pagos), únicamente los necesarios para cumplir las finalidades descritas en esta política.

8. Conservación de Datos

Los datos personales se conservan mientras el contrato de prestación de servicios esté vigente y durante los plazos adicionales exigidos por ley:

• Datos contables y fiscales: mínimo 5 años según el Código de Comercio y las normas tributarias colombianas (DIAN).
• Registros de aceptación contractual: mínimo 10 años, por ser evidencia de actos jurídicos electrónicos (Ley 527/1999).
• Logs de acceso y seguridad: 12 meses.
• Datos operacionales (ventas, inventarios): mientras el comercio tenga suscripción activa + 30 días adicionales tras terminación para exportación.

9. Habeas Data para Clientes del POS

Los comercios registrados en Order Clic recolectan datos personales de sus propios clientes (nombre, identificación, teléfono, correo) para gestionar ventas y fidelización. Smartclic provee la herramienta tecnológica, pero el comercio es el único responsable de obtener la autorización de sus clientes finales.

La plataforma incluye un mecanismo de registro de autorización habeas data por cliente, que el operador del POS debe activar al moment de crear un cliente, confirmando que cuenta con la autorización correspondiente. Este mecanismo transfiere la responsabilidad legal al comercio y protege a Smartclic de reclamaciones por omisión en la obtención del consentimiento.

10. Mensajería WhatsApp Business

OrderClic integra la API de WhatsApp Business de Meta Platforms, Inc.para el envío de mensajes transaccionales de cobro (notificaciones de órdenes de venta, enlaces de pago, recibos). Esta sección describe cómo se tratan los datos personales en el contexto de dicha integración.

10.1 Datos transmitidos a Meta

Al enviar un mensaje a través del módulo de WhatsApp, los siguientes datos son procesados por Meta para la entrega del mensaje:

• Número de teléfono del destinatario en formato E.164 (ej. +573001234567).
• Contenido del mensaje: nombre del cliente final, monto de la orden, referencia de pago y enlace de checkout. No se transmiten datos de tarjetas, NIT ni contraseñas.
• Metadatos de entrega: estado del mensaje (enviado, entregado, leído) — gestionados directamente por Meta.

Meta actúa como procesador de datos al transmitir los mensajes. El tratamiento de datos por Meta se rige exclusivamente por la Política de Privacidad de WhatsApp y las Políticas de Privacidad de Meta, que son independientes de las de Smartclic. Smartclic no controla ni es responsable del tratamiento de datos que Meta realice en sus propias infraestructuras.

10.2 Consentimiento (Opt-In)

Smartclic solo envía mensajes de WhatsApp a números que han otorgado consentimiento expreso (“opt-in”). El consentimiento se registra por alguno de estos métodos:

• Mensaje entrante (inbound): el cliente final inicia el contacto escribiendo al número de WhatsApp del comercio — este es el método de consentimiento preferido por Meta.
• Consentimiento en punto de venta (POS): el cliente final entrega voluntariamente su número de teléfono al cajero para recibir el cobro por WhatsApp. Este acto inequívoco constituye consentimiento según la Ley 1581 de 2012, Art. 9.

Cada consentimiento queda registrado en la tabla wa_optin con: número de teléfono, comercio, método de opt-in, timestamp exacto y nota de auditoría. Este registro es la evidencia ante la Superintendencia de Industria y Comercio (SIC) y ante Meta de que los mensajes son solicitados.

10.3 Revocación del consentimiento (Opt-Out)

El cliente final puede revocar su consentimiento en cualquier momento respondiendo al mensaje de WhatsApp con cualquiera de las palabras: STOP, BAJA, CANCELAR, NO QUIERO o ELIMINAR.

Al recibir estas palabras, el sistema:

• Suspende de forma inmediata el envío de mensajes a ese número para ese comercio.
• Registra la revocación con timestamp y el texto literal en el registro de auditoría.
• Envía una confirmación de baja al cliente final.

La revocación no afecta mensajes ya enviados ni órdenes de pago en curso. El cliente también puede ejercer sus derechos ARCO escribiendo a legal@smartclic.com.co.

10.4 Finalidad exclusivamente transaccional

Los mensajes de WhatsApp enviados a través de OrderClic tienen finalidad exclusivamente transaccional: notificación de cobros de órdenes de venta existentes. Smartclic no utiliza este canal para publicidad, marketing directo ni comunicaciones promocionales.

Los datos de contacto (número de teléfono) obtenidos a través de WhatsApp no se utilizan para segmentación publicitaria, no se comparten con plataformas de anuncios (incluyendo las propias plataformas de Meta para este fin), y no se transfieren a terceros distintos de Wompi (para el procesamiento del pago) y Meta (para la entrega del mensaje).

10.5 Responsabilidad del comercio (tenant)

El comercio registrado en OrderClic es el Responsable del Tratamientode los datos de sus clientes finales y es el único obligado a obtener el consentimiento de sus titulares. Smartclic provee la herramienta tecnológica de envío y actúa como Encargado del Tratamiento. El comercio debe cumplir la Política de Mensajería de WhatsApp Business al utilizar este módulo.

11. Cookies y Tecnologías de Seguimiento

Smartclic utiliza cookies técnicas esenciales para el funcionamiento de la plataforma (autenticación, seguridad). No utilizamos cookies de seguimiento publicitario de terceros ni compartimos datos con plataformas de publicidad sin consentimiento expreso.

Para el CAPTCHA de registro se usa Cloudflare Turnstile, que verifica la humanidad del usuario sin recopilar datos biométricos ni compartir información con plataformas publicitarias (a diferencia de Google reCAPTCHA).

Para más información sobre cookies consulte nuestra Política de Cookies.

12. Vigencia

Esta política entra en vigor el 14 de abril de 2026 y reemplaza cualquier versión anterior. Smartclic podrá actualizarla con 30 días de antelación, publicando la nueva versión en smartclic.com.co/privacidad y notificando por correo al administrador del comercio.

SMARTCLIC SAS• NIT 902054183-3 • Pitalito, Huila, Colombia
Representante Legal: Diego Fernando Calderón Silva, C.C. 1.094.914.260
Responsable de Protección de Datos: legal@smartclic.com.co • Vigente desde el 14 de abril de 2026