Política de Privacidad y Tratamiento de Datos Personales

1. Introducción y marco legal

Esta Política de Privacidad y Tratamiento de Datos Personales (en adelante, la "Política") describe cómo Vitrina Raíz recolecta, usa, almacena, transmite, suprime y, en general, trata los datos personales de las personas que utilizan nuestra plataforma web (vitrinaraiz.com), nuestras aplicaciones móviles para iOS y Android, y los servicios relacionados (en adelante, la "Plataforma").

Esta Política da cumplimiento a la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015, las circulares de la Superintendencia de Industria y Comercio (SIC) y demás normativa aplicable en Colombia sobre protección de datos personales (Régimen General de Protección de Datos, conocido como Habeas Data).

Al registrarte, usar la Plataforma, descargar nuestras aplicaciones móviles, contactar a un asesor inmobiliario a través de una vitrina pública o suministrar tus datos por cualquier medio asociado a Vitrina Raíz, manifiestas haber leído, entendido y aceptado los términos de esta Política.

2. Responsable del tratamiento de datos

El responsable del tratamiento decide sobre las finalidades, medios y procedimientos para el tratamiento de tus datos personales. Para cualquier consulta, reclamo o ejercicio de derechos, utiliza preferentemente el correo de privacidad indicado.

3. Definiciones clave

• Titular: persona natural cuyos datos personales son objeto de tratamiento.
• Dato personal: cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
• Dato sensible: aquel que afecta la intimidad del titular o cuyo uso indebido pueda generar discriminación (ej: datos de salud, biométricos, orientación política, religiosa, vida sexual).
• Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales (recolección, almacenamiento, uso, circulación, supresión).
• Encargado del tratamiento: persona que realiza el tratamiento por cuenta del responsable.
• Autorización: consentimiento previo, expreso e informado del titular para el tratamiento.
• Plataforma: el sitio web vitrinaraiz.com, las aplicaciones móviles y demás servicios de Vitrina Raíz.
• Agente: usuario registrado que ofrece servicios inmobiliarios a través de la Plataforma.
• Inmobiliaria: persona jurídica o equipo de agentes con cuenta tipo organización en la Plataforma.
• Prospecto / Lead: persona que contacta a un agente o inmobiliaria a través de la Plataforma sin tener una cuenta de agente.

4. Datos personales que tratamos

4.1 Datos de agentes inmobiliarios e inmobiliarias

• Identificación: nombre completo, número de documento (cuando aplique), email, teléfono, fotografía de perfil
• Datos profesionales: nombre comercial, ciudades de operación, especialidad, biografía
• Credenciales: dirección de correo, contraseña cifrada (hash), tokens de sesión, tokens de notificación push (Expo)
• Datos de pago: información procesada por MercadoPago (no almacenamos números completos de tarjeta), historial de suscripción y facturación
• Datos técnicos: dirección IP, identificador de dispositivo, sistema operativo, versión de app, logs de acceso, eventos de uso
• Datos comerciales: propiedades publicadas, leads atendidos, propietarios gestionados, contratos suscritos a través de la Plataforma

4.2 Datos de prospectos / leads (visitantes de vitrinas públicas)

• Identificación: nombre, email, teléfono
• Contenido del contacto: mensaje, propiedad de interés, canal de contacto
• Datos técnicos: dispositivo, navegador, referente, eventos de interacción
• Origen del contacto: vitrina del agente, búsqueda, WhatsApp, redes sociales

Los datos de prospectos son tratados con el fin exclusivo de permitir el contacto comercial entre el prospecto y el agente que publica la propiedad. El responsable del seguimiento comercial es el agente; Vitrina Raíz actúa como facilitador tecnológico (encargado del tratamiento para fines de la herramienta).

4.3 Datos de propietarios e inquilinos (terceros suministrados por el agente)

• Identificación: nombre, documento de identidad, email, teléfono, dirección
• Documentos: copias de cédula, certificados laborales, declaraciones de renta, contratos, escrituras (cuando el agente los carga)
• Información comercial: comisiones pactadas, fechas de contrato, estado de pagos, observaciones

Importante: respecto de los datos de propietarios e inquilinos, el agente o inmobiliaria que carga la información actúa como responsable del tratamiento frente a esos titulares, y Vitrina Raíz actúa como encargado. El agente es responsable de contar con la autorización previa, expresa e informada del titular antes de cargar sus datos a la Plataforma.

4.4 Datos sobre propiedades

• Ubicación: dirección, ciudad, departamento, coordenadas geográficas (latitud/longitud)
• Características físicas, precios, fotografías, videos, tours virtuales
• Documentos adjuntos (escrituras, planos, certificados)

4.5 Datos recolectados por la aplicación móvil (iOS y Android)

La aplicación móvil de Vitrina Raíz solicita los siguientes permisos del dispositivo:

• Cámara: para tomar fotografías de propiedades. No se accede a la cámara sin acción explícita del usuario.
• Galería / Fotos: para subir imágenes desde el almacenamiento local del dispositivo.
• Ubicación (cuando se usa): exclusivamente al crear o editar una propiedad, para autocompletar las coordenadas. No hacemos rastreo en segundo plano.
• Notificaciones push: para enviar alertas de nuevos leads, mensajes y eventos relevantes. Se almacena un token de Expo asociado a la sesión del dispositivo.
• Biometría (opcional): si el usuario lo habilita, para acceso rápido mediante huella o reconocimiento facial. Los datos biométricos no salen del dispositivo y no son almacenados por Vitrina Raíz.
• Identificador del dispositivo: para análisis de uso, seguridad y reporte de errores.

Todos los permisos pueden ser revocados en cualquier momento desde la configuración del sistema operativo del dispositivo.

4.6 Datos analíticos y de uso

• Vistas de propiedades, clics en WhatsApp, descargas de PDF, búsquedas realizadas
• Tiempo de sesión, rutas de navegación, comportamiento dentro de la Plataforma
• Errores y eventos técnicos para diagnóstico y mejora del producto

5. Finalidades del tratamiento

5.1 Finalidades principales

• Prestar el servicio de plataforma inmobiliaria, vitrinas públicas y aplicaciones móviles
• Gestionar la cuenta de usuario, autenticación y sesiones
• Procesar pagos, suscripciones y emitir facturas a través de MercadoPago
• Facilitar el contacto entre prospectos y agentes inmobiliarios
• Almacenar y publicar las propiedades, archivos y documentos cargados por el agente
• Generar estadísticas, reportes e indicadores del negocio del agente
• Enviar notificaciones operativas (transaccionales): nuevos leads, alertas de cuenta, recuperación de contraseña, vencimientos de suscripción
• Brindar soporte técnico y atención al usuario
• Detectar fraude, abuso y comportamientos contrarios a los Términos y Condiciones

5.2 Finalidades secundarias (con autorización adicional)

• Envío de comunicaciones comerciales, promociones y novedades del producto
• Realización de encuestas de satisfacción y estudios de mercado
• Personalización de la experiencia mediante analítica de comportamiento
• Compartir testimonios o casos de éxito (solo con autorización expresa del titular)

Las finalidades secundarias son opcionales y puedes revocar tu autorización en cualquier momento sin que ello afecte la prestación del servicio principal.

6. Base jurídica del tratamiento

• Autorización previa, expresa e informada del titular (Art. 9 Ley 1581 de 2012) — base principal para las finalidades secundarias.
• Ejecución de un contrato (Art. 10 lit. a) — para prestar los servicios contratados.
• Cumplimiento de obligación legal o contractual (Art. 10 lit. b) — para obligaciones fiscales, tributarias y comerciales.
• Interés legítimo — para mejorar la Plataforma, prevenir fraude, garantizar la seguridad y operación técnica.

7. Datos sensibles y de menores

Vitrina Raíz no solicita ni trata intencionalmente datos sensibles (definidos en el Art. 5 de la Ley 1581) en su operación habitual. Cuando un agente cargue documentos del propietario o inquilino (cédulas, certificados, fotos), estos datos serán tratados bajo las medidas de seguridad descritas en la sección 11 y bajo la responsabilidad del agente como titular del proceso comercial.

Menores de edad: nuestros servicios están dirigidos exclusivamente a personas mayores de 18 años. No recolectamos intencionalmente datos personales de menores. Si tienes conocimiento de que un menor de edad ha suministrado datos personales a la Plataforma, por favor contáctanos al correo de privacidad indicado en la sección 2 para proceder a su supresión.

Los formularios públicos para contactar agentes inmobiliarios deben ser usados exclusivamente por personas mayores de edad. El agente está obligado a verificar la mayoría de edad de la persona con quien adelante operaciones inmobiliarias.

8. Compartir información con terceros

No vendemos ni alquilamos tus datos personales. Compartimos datos únicamente con los siguientes terceros para fines específicos de la operación de la Plataforma:

Estos proveedores actúan como encargados del tratamiento, están vinculados por contratos que exigen confidencialidad y aplicación de medidas de seguridad equivalentes a las nuestras.

También compartimos información cuando:

• Sea requerido por autoridad judicial, administrativa o policial competente, en cumplimiento de una orden expresa
• El titular haya autorizado expresamente el compartir
• En caso de fusión, adquisición, venta de activos o reorganización societaria, garantizando el mismo nivel de protección

9. Transferencias internacionales

Algunos de los proveedores listados en la sección 8 están ubicados fuera de Colombia. La transferencia de datos a estos países se hace bajo las siguientes garantías:

• Cláusulas contractuales que garantizan el mismo nivel de protección que la legislación colombiana
• Selección de proveedores que cumplen estándares internacionales reconocidos (ISO 27001, SOC 2)
• Cifrado de datos en tránsito (TLS 1.2 o superior) y en reposo

Al aceptar esta Política, autorizas la transferencia internacional de tus datos en las condiciones aquí descritas, en cumplimiento del Art. 26 de la Ley 1581 de 2012.

10. Cookies y tecnologías de seguimiento

La Plataforma utiliza cookies y tecnologías similares (local storage, session storage, pixel tags, SDKs móviles) para garantizar el funcionamiento básico, recordar tus preferencias y obtener estadísticas de uso. Los detalles se describen en nuestra Política de Cookies.

Puedes configurar tu navegador para rechazar cookies o eliminarlas en cualquier momento. Ten en cuenta que el rechazo de cookies estrictamente necesarias puede afectar el funcionamiento de la Plataforma.

11. Seguridad de la información

Implementamos medidas técnicas, administrativas y físicas razonables para proteger tus datos personales:

• Cifrado de datos en tránsito (TLS 1.2 o superior) y en reposo cuando aplique
• Hash de contraseñas con algoritmos modernos (bcrypt)
• Cookies de sesión HTTP-only y SameSite
• Controles de acceso por rol y permisos diferenciados
• Registros de auditoría de acciones sensibles
• Respaldos periódicos y planes de continuidad
• Monitoreo continuo de seguridad y reporte de incidentes
• Validación de archivos (magic numbers, límite de tamaño) para prevenir cargas maliciosas
• Rate limiting en endpoints críticos

A pesar de nuestros esfuerzos, ninguna medida de seguridad es infalible. Si detectamos un incidente que afecte tus datos personales, te notificaremos sin demora injustificada conforme a las obligaciones de la Ley 1581 y reportaremos a la SIC cuando corresponda.

12. Retención de datos

Conservamos tus datos personales por los siguientes plazos:

• Cuenta de agente activa: mientras la cuenta esté activa.
• Cuenta cancelada o eliminada: hasta 6 meses después de la cancelación para fines de seguridad, prevención de fraude y posibles disputas, salvo que la ley exija un plazo mayor.
• Información de facturación y contabilidad: 10 años, conforme a la normativa tributaria colombiana (Art. 28 Código de Comercio).
• Datos de leads (prospectos): mientras el agente mantenga su cuenta activa o solicite la eliminación; en cualquier caso, máximo 5 años desde el último contacto.
• Logs técnicos y de seguridad: 24 meses.
• Datos analíticos agregados / anonimizados: conservados indefinidamente para mejorar el servicio (ya no identifican personas).

Una vez vencido el plazo de retención, los datos se eliminan o anonimizan de manera segura e irreversible.

13. Derechos del titular

Como titular de tus datos personales, tienes los siguientes derechos consagrados en la Ley 1581 de 2012:

• Conocer, actualizar y rectificar tus datos personales
• Solicitar prueba de la autorización otorgada
• Ser informado sobre el uso que se ha dado a tus datos
• Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la ley
• Revocar la autorización y/o solicitar la supresión de tus datos cuando no se respeten los principios, derechos y garantías constitucionales y legales
• Acceder de forma gratuita a tus datos personales objeto de tratamiento
• Solicitar la portabilidad de tus datos en formato estructurado

13.1 Cómo ejercer tus derechos

Tienes dos formas de presentar tu solicitud:

1. Formulario en línea (recomendado): vitrinaraiz.com/derechos-titular. Llena el formulario y recibirás respuesta en los plazos legales.
2. Correo electrónico: envía un mensaje a [email protected] con asunto "Solicitud Habeas Data", indicando tu nombre completo, número de identificación, descripción clara de la solicitud y correo de contacto.

Plazos de respuesta: consultas en 10 días hábiles; reclamos en 15 días hábiles, prorrogables 8 días adicionales cuando no fuere posible atender la solicitud, informándote los motivos.

Si tu solicitud se considera incompleta, dispondrás de 5 días hábiles para completarla; en caso contrario, se entenderá desistida.

14. Eliminación de cuenta

Puedes solicitar la eliminación de tu cuenta en cualquier momento:

• Desde la web: ingresa a Configuración del perfil → Eliminar cuenta
• Desde la app móvil: Mi Perfil → Eliminar cuenta
• Por correo: enviando solicitud al correo de privacidad indicado en la sección 2

Al eliminar tu cuenta, tus datos serán suprimidos en los plazos descritos en la sección 12, salvo aquellos que debamos conservar por obligación legal o para defensa frente a reclamaciones.

15. Vitrina Raíz como encargado del tratamiento

Cuando un agente o inmobiliaria carga a la Plataforma datos personales de terceros (propietarios, inquilinos, prospectos privados), Vitrina Raíz actúa como encargado del tratamiento por cuenta del agente, quien es el responsable.

En estos casos, Vitrina Raíz se obliga a:

• Tratar los datos únicamente para las finalidades autorizadas por el responsable
• Garantizar la confidencialidad e implementar medidas de seguridad razonables
• Atender las solicitudes de los titulares cuando le sean canalizadas por el responsable
• Devolver o eliminar los datos al término de la relación contractual

El agente declara, al cargar datos de terceros, que cuenta con la autorización previa, expresa e informada del titular conforme a los Términos y Condiciones de la Plataforma.

16. Aplicaciones móviles — información específica para tiendas

Nuestras aplicaciones móviles para Android (Google Play) e iOS (App Store) cumplen con las políticas de cada tienda en cuanto a recolección y uso de datos:

• No vendemos datos personales a terceros
• No utilizamos datos para publicidad de terceros
• Toda la comunicación entre la app y nuestros servidores está cifrada
• Solicitamos solo los permisos estrictamente necesarios y los justificamos al usuario
• Ofrecemos opción de eliminar la cuenta desde la app
• Cumplimos con App Tracking Transparency en iOS — la app no rastrea entre apps de terceros

Los detalles específicos para cada tienda (Data Safety en Google Play, Privacy Nutrition Labels en App Store) se mantienen actualizados en las respectivas fichas de la app.

17. Cambios a esta política

Esta Política puede ser actualizada periódicamente para reflejar cambios en nuestras prácticas, en la normativa aplicable o en la operación de la Plataforma. Los cambios sustanciales serán notificados por correo electrónico y/o mediante aviso destacado en la Plataforma con al menos 10 días de anticipación.

La versión vigente y la fecha de última actualización siempre estarán disponibles en esta página. El uso continuado de la Plataforma después de la entrada en vigencia de los cambios implica la aceptación de los mismos.

18. Autoridad de control

Si consideras que el tratamiento de tus datos personales no cumple con la normativa aplicable, puedes presentar una queja ante la Superintendencia de Industria y Comercio (SIC) de Colombia.

19. Contacto

Para cualquier consulta sobre esta Política o el tratamiento de tus datos:

• Responsable del Tratamiento: Vitrina Raíz
• Correo de privacidad: [email protected]
• Sitio web: https://vitrinaraiz.com
• Dirección de notificaciones: Bucaramanga, Santander, Colombia