ConmaCMP
Iniciar sesiónEmpezar gratis
Legal · Privacidad

Política de Privacidad

Cómo recopilamos, usamos y protegemos tus datos personales. Aplicable bajo Ley 1581/2012 (Colombia) y GDPR.

Versión 1.0Actualizado el 8 de mayo de 2026Conma Systems · conma.lat

1.Responsable del Tratamiento

Conma Systems (en adelante "Conma", "nosotros" o "la empresa") es responsable del tratamiento de los datos personales recopilados a través de la plataforma conma.lat y sus servicios asociados.

CampoInformación
EmpresaConma Systems
Correo de contactoinfo@metra.com.co
País de domicilioColombia
Sitio webhttps://conma.lat

Para efectos del GDPR, Conma actúa como responsable del tratamiento respecto de los datos de sus clientes y usuarios del portal. Respecto de los datos personales de los usuarios finales de los sitios web de nuestros clientes, Conma actúa como encargado del tratamiento, conforme a lo descrito en nuestra Política de Tratamiento de Datos (DPA).

2.Datos Personales que Recopilamos

2.1 Datos de registro y cuenta

  • Nombre completo
  • Dirección de correo electrónico
  • Nombre de la organización o empresa
  • Contraseña (almacenada con hash bcrypt, nunca en texto plano)

2.2 Datos de uso del servicio

  • Dominio(s) registrado(s) en la plataforma
  • Configuración del banner de consentimiento
  • Registros de actividad en el portal (acciones, fechas, IPs con hash)
  • API keys (almacenadas solo como hash BLAKE2b)

2.3 Datos de facturación

Información de pago procesada por PayU (LATAM) o Stripe (mercados internacionales). Conma no almacena números de tarjeta ni datos bancarios directamente — estos son procesados por los gateways de pago certificados PCI DSS.

2.4 Registros de consentimiento (como encargado)

Cuando operamos en nombre de nuestros clientes, almacenamos:

  • Identificador anónimo del usuario final (sin nombre ni email)
  • Dirección IP hasheada con sal (GDPR Art. 25 — privacy by design)
  • Fecha, hora y decisión de consentimiento
  • Versión de la política aplicada
  • Certificado de integridad (hash SHA-256)

3.Finalidades del Tratamiento y Base Legal

FinalidadBase legal (GDPR)Base legal (Ley 1581)
Prestación del servicio contratadoArt. 6.1.b — ejecución de contratoArt. 10.a — autorización del titular
Facturación y gestión de pagosArt. 6.1.b — ejecución de contratoArt. 10.a
Comunicaciones transaccionalesArt. 6.1.b — ejecución de contratoArt. 10.a
Mejora del servicio y análisis de usoArt. 6.1.f — interés legítimoArt. 10.b — interés legítimo
Comunicaciones de marketingArt. 6.1.a — consentimiento expresoArt. 10.a — autorización
Cumplimiento de obligaciones legalesArt. 6.1.c — obligación legalArt. 10.c
Registros de consentimiento de usuarios finalesArt. 6.1.b — ejecución de contratoArt. 10.a

4.Retención de Datos

CategoríaPeríodo de retención
Datos de cuenta activaDurante la vigencia del contrato + 2 años
Registros de consentimiento de usuarios finales5 años desde la fecha del consentimiento
Datos de facturación10 años (obligación fiscal — Art. 632 E.T.)
Logs de seguridad y auditoría1 año
Datos de marketing (con consentimiento)Hasta la revocación del consentimiento

Tras el período de retención, los datos se eliminan de forma segura o se anonimizan de manera irreversible.

5.Derechos de los Titulares

Bajo la Ley 1581/2012 (Colombia), usted tiene los derechos de Acceso, Rectificación, Supresión y Queja (ARCO) ante Conma y ante la Superintendencia de Industria y Comercio (SIC).

Bajo el GDPR (si aplica), usted tiene además derecho a la portabilidad (Art. 20), a oponerse al tratamiento (Art. 21), a no ser objeto de decisiones automatizadas (Art. 22) y a restringir el tratamiento (Art. 18).

Para ejercer cualquiera de estos derechos, envíe una solicitud a info@metra.com.co con asunto "Derechos de Titular". Responderemos en un plazo máximo de 15 días hábiles (Ley 1581) o 30 días calendario (GDPR Art. 12.3).

6.Transferencias Internacionales de Datos

ProveedorFunciónPaís/RegiónGarantía
SupabaseBase de datos principalBrasil (São Paulo)SCCs GDPR 2021
RailwayInfraestructura de aplicaciónEE.UU. / GlobalSCCs GDPR 2021
UpstashCaché RedisAWS us-east-1SCCs GDPR 2021
PayU LatamProcesamiento de pagosColombia / LATAMOperador en Colombia
StripeProcesamiento de pagos int.EE.UU. / GlobalSCCs + Privacy Shield successor

Todas las transferencias internacionales se realizan con las salvaguardas adecuadas conforme al GDPR Art. 46 y la Ley 1581/2012.

7.Cookies y Tecnologías de Seguimiento

Cookies estrictamente necesarias (sin consentimiento requerido)

  • _cmp_session — autenticación y seguridad de sesión (duración: sesión)
  • _cmp_csrf — protección contra ataques CSRF (duración: sesión)

Cookies funcionales (requieren consentimiento)

  • _cmp_consent — almacena su decisión de consentimiento (duración: 1 año)
  • _cmp_locale — preferencia de idioma (duración: 1 año)

Puede gestionar sus preferencias en cualquier momento a través del panel de privacidad del portal.

8.Seguridad de los Datos

Aplicamos medidas técnicas y organizativas adecuadas conforme al GDPR Art. 32:

  • Cifrado en tránsito con TLS 1.3
  • Contraseñas hasheadas con bcrypt (coste 12)
  • JWT firmados con RS256
  • Aislamiento por inquilino mediante Row-Level Security (RLS) en base de datos
  • IPs hasheadas con sal antes del almacenamiento permanente
  • Auditoría de accesos administrativos
  • Sin almacenamiento de datos de tarjeta (delegado a gateways PCI DSS)

9.Modificaciones a esta Política

Conma se reserva el derecho de actualizar esta Política de Privacidad. Notificaremos los cambios materiales por correo electrónico y mediante aviso en el portal con al menos 30 días de anticipación. El uso continuado del servicio tras la notificación constituye aceptación de los cambios.

10.Contacto y Autoridad de Control

EntidadContacto
Conma Systemsinfo@metra.com.co
SIC Colombiawww.sic.gov.co
Autoridad UE (si aplica)La autoridad del Estado miembro donde usted resida
Otras políticas:Tratamiento de Datos (DPA)Términos y Condiciones