Política de Tratamiento de Datos Personales de vukki
Última actualización: 30 de abril de 2026
Versión: 1.1
Responsable del tratamiento: VUKKI SAS, NIT 902056764-1, domicilio Calle 99 #56-48, Barranquilla, Colombia (en adelante, "vukki")
Domicilio: Barranquilla, Atlántico, Colombia
Correo para ejercer derechos: operaciones@vukki.co
Oficial de Protección de Datos (DPO): disponible en operaciones@vukki.co
Esta Política se adopta en cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 (Parte 2, Libro 2, Título 2, Capítulo 25 y ss.), las Circulares Externas de la Superintendencia de Industria y Comercio (SIC) y demás normas concordantes.
1. Responsable del tratamiento
vukki es el Responsable del tratamiento de los datos personales recolectados a través de la Plataforma https://vukki.co, salvo en los casos en que actúa como Encargado por cuenta del Aliado (ver sección 6).
Canal oficial para ejercer derechos ARCO:
- Email:
operaciones@vukki.co - Asunto sugerido: "Ejercicio de derechos — [tu nombre]"
2. Definiciones (Ley 1581 / Decreto 1377)
- Titular: persona natural cuyos datos personales son objeto de tratamiento.
- Dato personal: cualquier información vinculada o asociable a una persona natural determinada o determinable.
- Dato sensible: afecta la intimidad o cuyo uso indebido puede generar discriminación (salud, origen racial, orientación política, datos biométricos, etc.).
- Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión).
- Autorización: consentimiento previo, expreso e informado del Titular.
- Encargado: quien realiza el tratamiento por cuenta del Responsable.
- Transferencia internacional: envío de datos a un Responsable ubicado fuera de Colombia.
- Transmisión internacional: envío de datos a un Encargado ubicado fuera de Colombia para que trate los datos por cuenta del Responsable.
3. Categorías de Titulares y datos tratados
3.1. Aliados (dueños/administradores del negocio)
- Identificación: nombre, apellidos, tipo y número de documento (cédula o NIT), fecha de nacimiento.
- Contacto: email, teléfono celular, dirección del establecimiento, ciudad.
- Empresa: razón social, nombre comercial, slug, logo, horarios, servicios, precios.
- Financieros: cuenta bancaria para payout (banco, tipo y número de cuenta), histórico de liquidaciones.
- Medios de pago: token de tarjeta generado por Wompi, marca (Visa/Mastercard/etc.), últimos 4 dígitos, fecha de expiración. vukki nunca almacena el número completo (PAN), CVV ni banda magnética.
- Facturación: email de facturación, datos fiscales (régimen, responsabilidad tributaria), historial de facturas Alegra.
- Autenticación: hash de contraseña (bcrypt/argon2 vía Supabase Auth), sesiones, IP y user agent del último acceso.
3.2. Clientes finales (quienes reservan)
- Identificación y contacto: nombre, teléfono, email (si lo suministra).
- Reserva: servicio agendado, fecha/hora, Aliado seleccionado, monto, estado de pago, notas.
- Transacción: comprobante Wompi, método de pago (sin PAN ni CVV; solo marca + últimos 4).
- Historial: reservas previas con el mismo Aliado.
3.3. Visitantes del sitio y usuarios autenticados
- Técnicos y de navegación: dirección IP, tipo de navegador, sistema operativo, páginas visitadas, referrer, marcas de tiempo.
- Cookies: ver sección 9.
- Analítica agregada: métricas de uso.
3.4. Datos sensibles
vukki no recolecta datos sensibles de manera deliberada (salud, biométricos, ideología, etc.). Si un Aliado los registra en campos libres (p. ej. notas del cliente), actúa como Responsable de esos datos y debe contar con autorización expresa y cualificada del Titular. Se recomienda no capturar datos sensibles a través de la Plataforma.
3.5. Menores de edad
La Plataforma no está dirigida a menores de edad. Si un menor requiere un servicio, la reserva debe ser gestionada por su representante legal, quien responde por la autorización del tratamiento conforme al Decreto 1377 de 2013, artículo 12.
4. Finalidades del tratamiento
4.1. Finalidades respecto de Aliados
- Crear, mantener y verificar la cuenta.
- Prestar los servicios de la Plataforma (agenda, catálogo, página pública, notificaciones).
- Procesar el cobro recurrente de la suscripción y emitir facturación DIAN.
- Recaudar pagos de Clientes finales, liquidar comisiones y ejecutar payouts.
- Atender consultas, solicitudes y reclamaciones.
- Cumplir obligaciones legales (tributarias, contables, SARLAFT, reportes a la UIAF si aplica).
- Prevenir fraude, abuso y lavado de activos.
- Mejorar la Plataforma (analítica agregada, soporte, QA).
- Comunicaciones transaccionales y, con autorización, comerciales.
4.2. Finalidades respecto de Clientes finales
- Gestionar la reserva y el pago del servicio contratado con el Aliado.
- Enviar comprobantes y recordatorios por email y/o WhatsApp.
- Atender reclamaciones y solicitudes de reversión.
- Prevenir fraude.
- Generar estadísticas anonimizadas.
4.3. Finalidades respecto de visitantes
- Operar el sitio web, autenticación y seguridad.
- Analítica de uso.
- Mejora de producto.
5. Bases legales del tratamiento
| Finalidad | Base legal |
|---|---|
| Ejecución del servicio SaaS | Ejecución contractual (art. 10 lit. b, Ley 1581) |
| Recaudo y payouts | Ejecución contractual (mandato) |
| Facturación y obligaciones tributarias | Obligación legal (Estatuto Tributario, DIAN) |
| SARLAFT / UIAF | Obligación legal |
| Comunicaciones transaccionales | Ejecución contractual |
| Comunicaciones de marketing | Consentimiento expreso, revocable en cualquier momento |
| Analítica y mejora de producto | Interés legítimo, con opción de opt-out |
| Prevención de fraude | Interés legítimo |
| Datos sensibles (si los hubiera) | Autorización expresa y cualificada |
La autorización se obtiene mediante clickwrap (casilla no pre-marcada) al momento del registro, del agregado de tarjeta, de la reserva o del agregado de método de contacto, conservando evidencia de timestamp, IP, user agent y versión aceptada, conforme a la Ley 527 de 1999.
6. Encargados del tratamiento y transferencia/transmisión internacional
vukki se apoya en proveedores tecnológicos que tratan datos por su cuenta. Algunos están ubicados fuera de Colombia, específicamente en Estados Unidos, país que la SIC no ha declarado con nivel adecuado de protección. Por ello, las transferencias y transmisiones internacionales se amparan en: (i) la autorización expresa del Titular conforme al artículo 26 literal a) de la Ley 1581 de 2012, y (ii) contratos de transmisión internacional firmados con cada Encargado, con obligaciones equivalentes a las del Decreto 1377 de 2013 artículo 25, conforme a la Circular Externa 005 de 2017 de la SIC (y modificatorias).
| Encargado / Proveedor | Finalidad | País | Mecanismo de transferencia |
|---|---|---|---|
| Wompi (Bancolombia) | Procesamiento de pagos, tokenización PCI-DSS, payouts | Colombia | Contrato nacional + PCI-DSS |
| Supabase Inc. | Base de datos (Postgres), autenticación | Estados Unidos | Cláusulas contractuales modelo SIC + DPA |
| Vercel Inc. | Hosting, edge network | Estados Unidos / global | Cláusulas contractuales modelo SIC + DPA |
| Alegra | Facturación electrónica DIAN | Colombia | Contrato nacional |
| WhatsApp (Meta) | Notificaciones a Aliados y Clientes finales | Estados Unidos / Irlanda | Cláusulas contractuales modelo + condiciones Meta Business |
| Twilio / proveedor SMS (eventual) | Mensajería SMS | Estados Unidos | Cláusulas contractuales modelo SIC + DPA |
Transferencias a Responsables (p. ej. DIAN, autoridades judiciales, UIAF): se realizan únicamente cuando exista obligación legal o requerimiento formal de autoridad competente.
Al aceptar esta Política, el Titular autoriza expresamente la transmisión internacional de sus datos a los Encargados mencionados, para las finalidades descritas.
7. Plazos y criterios de retención
| Categoría de dato | Plazo de conservación |
|---|---|
| Cuenta del Aliado activa | Mientras la relación contractual esté vigente |
| Datos post-cancelación | 30 días calendario (exportación + atención de disputas) |
| Datos contables y facturas | 10 años (Código de Comercio, art. 60) |
| Información tributaria | 5 años (Estatuto Tributario, art. 632) |
| Registros SARLAFT / reportes UIAF | Mínimo 5 años |
| Logs de seguridad y auditoría | 12 meses |
| Datos de Clientes finales (reservas) | Mientras exista relación comercial con el Aliado o hasta solicitud de supresión por el Titular, salvo obligación legal de conservación |
| Tokens de tarjeta | Mientras la suscripción esté activa + 6 meses |
Vencidos los plazos, los datos son eliminados o anonimizados de forma irreversible.
8. Derechos del Titular (ARCO + revocatoria + consulta)
El Titular tiene derecho a:
- Conocer, actualizar y rectificar sus datos.
- Solicitar prueba de la autorización otorgada.
- Ser informado sobre el uso dado a sus datos.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por incumplimiento.
- Revocar la autorización y/o solicitar la supresión del dato, salvo cuando exista deber legal o contractual que lo impida.
- Acceder gratuitamente a sus datos.
8.1. Procedimiento
Canal: correo a operaciones@vukki.co con asunto "Ejercicio de derechos — [tipo de solicitud]", adjuntando copia del documento de identidad y describiendo la petición.
Plazos (Ley 1581, arts. 14 y 15):
- Consulta: respuesta en máximo diez (10) días hábiles desde el recibo, prorrogables por cinco (5) días hábiles más con justificación.
- Reclamo: respuesta en máximo quince (15) días hábiles desde el día siguiente al recibo, prorrogables por ocho (8) días hábiles más con justificación.
Si la solicitud está incompleta, se requerirá al Titular dentro de los 5 días siguientes; si no subsana en dos (2) meses, se entenderá desistida.
Si transcurridos los plazos vukki no ha respondido satisfactoriamente, el Titular podrá acudir a la SIC (Delegatura para la Protección de Datos Personales).
9. Cookies y tecnologías similares
La Plataforma utiliza cookies y tecnologías equivalentes:
- Técnicas / estrictamente necesarias: sesión de Supabase Auth, preferencias de idioma, token CSRF. No requieren consentimiento.
- Analíticas: métricas agregadas de uso. Requieren consentimiento opt-in mediante banner de cookies.
- Funcionales: recuerdan configuraciones del Aliado.
El Titular puede gestionar sus preferencias desde el banner de cookies y/o la configuración de su navegador. Rechazar cookies analíticas no afecta el funcionamiento del servicio.
10. Seguridad de la información
vukki implementa medidas técnicas, humanas y administrativas razonables:
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
- Cifrado en reposo: en la base de datos Supabase (AES-256).
- Tokenización PCI-DSS: los datos de tarjeta nunca tocan servidores de vukki; son tokenizados por Wompi.
- Control de acceso: principio de mínimo privilegio, MFA para personal con acceso a datos, Row Level Security en Postgres.
- Logs y auditoría: registros de acceso, trazabilidad de modificaciones.
- Webhooks firmados: validación de firma HMAC en notificaciones de Wompi.
- Copias de respaldo: backups cifrados y pruebas periódicas de restauración.
- Capacitación: del personal en protección de datos.
Ningún sistema es infalible. En caso de incidente que afecte datos personales, vukki notificará a la SIC dentro de los plazos legales y a los Titulares afectados sin dilación indebida.
11. Rol dual: Responsable y Encargado
- vukki es Responsable frente a sus Aliados (datos que el propio Aliado suministra sobre sí mismo y su empresa) y frente a visitantes del sitio.
- vukki es Encargado del tratamiento de los datos de los Clientes finales del Aliado, en cuanto son recolectados por cuenta del Aliado para operar la reserva. El Aliado es el Responsable de esos datos y debe contar con la autorización de su Cliente final.
- En ambos casos, vukki cumple con las obligaciones que le correspondan por cada rol (Ley 1581, arts. 17 y 18).
12. Modificaciones
Esta Política puede actualizarse. Los cambios sustanciales se informarán con al menos quince (15) días calendario de anticipación al correo registrado y mediante aviso en la Plataforma. La versión vigente estará siempre en https://vukki.co/legal/privacidad, con fecha y número de versión.
13. Autoridad de control
Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales
- Sitio web: https://www.sic.gov.co
- Carrera 13 No. 27-00, Bogotá, D.C.
- Línea gratuita: 01-8000-910165
14. Contacto
- Responsable: VUKKI SAS — NIT 902056764-1 — Calle 99 #56-48, Barranquilla
- Domicilio: Barranquilla, Atlántico, Colombia
- Email legal: operaciones@vukki.co
- Oficial de Protección de Datos (DPO): disponible en operaciones@vukki.co
- Soporte: canal oficial de WhatsApp publicado en https://vukki.co
Resumen no vinculante (para lectura rápida)
Este resumen es solo orientativo. En caso de duda, prevalece el texto completo.
- Solo recolectamos los datos necesarios para operar tu agenda, cobrar y transferirte tu plata: nombre, contacto, cuenta bancaria, token de tu tarjeta (no guardamos el número completo).
- No vendemos tus datos. Los compartimos solo con proveedores que nos ayudan a operar (Wompi, Supabase, Vercel, Alegra, WhatsApp), bajo contratos que los obligan a cuidarlos.
- Algunos proveedores están en Estados Unidos. Firmamos contratos de transmisión internacional con obligaciones equivalentes a la ley colombiana, conforme a la Circular SIC 005/2017, para proteger tus datos allá.
- Tienes derecho a ver, corregir, borrar tus datos o revocar la autorización escribiéndonos a
operaciones@vukki.co. Te respondemos en máximo 15 días hábiles.