Preámbulo y compromiso institucional
Alea Consultores S.A.S., sociedad comercial constituida bajo las leyes de la República de Colombia, que opera bajo la marca comercial Eki / Eki Movilidad (en adelante, "EKI"), reconoce que los datos personales constituyen un activo crítico de los Titulares y un eje del derecho fundamental al hábeas data consagrado en el artículo 15 de la Constitución Política de Colombia. EKI declara su compromiso de tratar los datos personales bajo los más altos estándares de licitud, transparencia, seguridad, calidad y responsabilidad demostrada, en condiciones que iguale o superen las exigidas por la legislación colombiana y por los marcos internacionales de referencia.
La presente Política de Tratamiento de Datos Personales (en adelante, la "Política") es vinculante para todos los administradores, empleados, contratistas, encargados y aliados comerciales de EKI, así como para los Titulares cuyos datos se recolecten o traten en el marco de los servicios de gestión del Certificado UPME y demás actividades complementarias.
1. Identificación del Responsable del Tratamiento
| Campo | Valor |
|---|---|
| Razón social | Alea Consultores S.A.S. |
| Marca comercial | Eki / Eki Movilidad |
| NIT | 901.843.053-6 |
| Domicilio principal | Bogotá D.C., Colombia |
| Dirección física | No se atiende público en dirección física. Notificaciones por correo electrónico. |
| Sitio web | ekimovilidad.com |
| Correo de contacto | info@ekimovilidad.com |
| Canal de privacidad | info@ekimovilidad.com |
| PQRS | info@ekimovilidad.com |
| Oficial de Privacidad / DPO | Andrés Ucrós Maldonado |
2. Marco normativo aplicable
Esta Política se rige por:
- Constitución Política de Colombia, artículos 15 y 20.
- Ley Estatutaria 1581 de 2012, "por la cual se dictan disposiciones generales para la protección de datos personales".
- Decreto 1377 de 2013, compilado en el Decreto Único Reglamentario 1074 de 2015.
- Ley 1266 de 2008 (datos financieros, crediticios, comerciales, de servicios y los provenientes de terceros países).
- Ley 1273 de 2009 (delitos informáticos).
- Ley 527 de 1999 (mensajes de datos y firma electrónica).
- Circular Externa 002 de 2022 de la Superintendencia de Industria y Comercio (principio de responsabilidad demostrada).
- Demás disposiciones que las modifiquen, adicionen, reglamenten o sustituyan.
Estándares internacionales de referencia: sin ser de aplicación obligatoria, EKI adopta voluntariamente principios y controles del Reglamento (UE) 2016/679 (GDPR), de la norma ISO/IEC 27001 e ISO/IEC 27701, y del marco NIST Privacy Framework, en lo que sea compatible con el régimen colombiano.
3. Definiciones
- Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
- Aviso de Privacidad: comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa la existencia de las políticas de Tratamiento que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento.
- Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento.
- Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato Sensible: aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación, tales como los datos que revelen origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, la vida sexual y los datos biométricos.
- Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable.
- Responsable del Tratamiento: persona natural o jurídica que decide sobre la Base de Datos y/o el Tratamiento de los datos. Para efectos de esta Política, EKI.
- Titular: persona natural cuyos datos personales son objeto de Tratamiento.
- Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, transmisión, transferencia o supresión.
- Transferencia internacional: envío de datos personales desde Colombia a un Responsable ubicado fuera del territorio nacional.
- Transmisión: comunicación de datos personales por parte del Responsable a un Encargado, con el fin de que éste realice el Tratamiento por cuenta del primero.
4. Principios rectores
EKI aplica de manera integral y armónica los siguientes principios al Tratamiento de datos personales:
- Legalidad: el Tratamiento es una actividad reglada que se sujeta a la ley vigente y a esta Política.
- Finalidad: el Tratamiento obedece a finalidades legítimas, explícitas y conocidas por el Titular.
- Libertad: el Tratamiento sólo se ejerce con consentimiento previo, expreso e informado del Titular, salvo mandato legal o judicial.
- Veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
- Transparencia: se garantiza el derecho del Titular a obtener, en cualquier momento y sin restricciones, información sobre la existencia y el Tratamiento de sus datos.
- Acceso y circulación restringida: los datos sólo pueden ser tratados por personas autorizadas y con propósitos compatibles con la Autorización.
- Seguridad: se adoptan medidas técnicas, humanas y administrativas para proteger los datos contra acceso no autorizado, pérdida, alteración o uso fraudulento.
- Confidencialidad: todas las personas con acceso a los datos están obligadas a guardar reserva, incluso después de finalizada su relación con EKI.
- Responsabilidad demostrada (accountability): EKI implementa, documenta y revisa de manera continua un Programa Integral de Gestión de Datos Personales conforme a la Circular 002/2022 de la SIC.
- Privacidad por diseño y por defecto: los productos, procesos y servicios de EKI incorporan medidas de privacidad desde su concepción y operan con la configuración más protectora por defecto.
- Minimización: sólo se recolectan los datos estrictamente necesarios para las finalidades declaradas.
5. Categorías de datos personales tratados
EKI trata las siguientes categorías de datos, según corresponda al rol del Titular:
5.1. Datos de identificación y contacto
Nombres, apellidos, tipo y número de documento de identidad, fecha y lugar de nacimiento, nacionalidad, dirección física, dirección de correo electrónico, número de teléfono fijo y móvil, firma manuscrita y/o electrónica.
5.2. Datos de identificación tributaria y societaria
NIT, RUT, certificado de existencia y representación legal, composición accionaria, beneficiarios finales, identificación de representantes legales, autorizados y apoderados.
5.3. Datos socioeconómicos, financieros y comerciales
Información de facturación, datos bancarios para pagos, comprobantes de pago, historial de transacciones con EKI, vehículos de inversión utilizados, capacidad financiera autodeclarada cuando sea relevante para SAGRILAFT.
5.4. Datos del proyecto o activo objeto del Certificado UPME
Información técnica del proyecto de energías no convencionales o eficiencia energética, datos del vehículo eléctrico (placa, VIN, ficha técnica), facturas, contratos de compraventa, certificados de homologación, estudios técnicos y demás documentación requerida por la UPME.
5.5. Datos de navegación y tecnológicos
Direcciones IP, identificadores de dispositivo, sistema operativo, navegador, registros de acceso a la Plataforma, cookies y tecnologías similares, conforme al numeral 19.
5.6. Datos de imagen y voz
Cuando se realicen videollamadas o reuniones grabadas, EKI podrá tratar imagen y voz, previa notificación e información sobre la finalidad y la posibilidad de oponerse a la grabación.
5.7. Datos derivados de procesos KYC/SAGRILAFT
Validaciones en listas vinculantes y restrictivas (OFAC, ONU, listas Clinton, vinculados PEP), declaraciones de origen de fondos, información para conocimiento del cliente conforme al riesgo de lavado de activos y financiación del terrorismo.
6. Datos sensibles
Regla general. EKI no recolecta ni trata datos sensibles, salvo en los supuestos en que sean estrictamente necesarios para una finalidad legítima, contractual o regulatoria, en cuyo caso requerirá autorización previa, expresa, escrita y específica del Titular, informándole su carácter facultativo.
Si en algún flujo se requiere el Tratamiento de datos sensibles, EKI:
- Realizará una evaluación previa de necesidad y proporcionalidad.
- Solicitará Autorización separada y específica con casilla independiente.
- Aplicará controles reforzados de seguridad y acceso restringido.
- Informará al Titular que ningún dato sensible es obligatorio para acceder al servicio cuando legalmente sea posible prescindir de él.
7. Datos de niños, niñas y adolescentes
EKI no dirige sus servicios a menores de edad. En consecuencia, no recolecta de manera intencional datos personales de niños, niñas y adolescentes. Si EKI tomara conocimiento de la recolección inadvertida de datos de un menor, procederá a su supresión inmediata, salvo que existan circunstancias que ameriten la conservación bajo el principio del interés superior del menor, conforme a la Sentencia T-260 de 2012 de la Corte Constitucional y la Ley 1098 de 2006.
8. Fuentes de obtención de los datos
EKI obtiene los datos personales de las siguientes fuentes:
- Directamente del Titular, a través de formularios digitales, contratos, correos electrónicos, llamadas, videoconferencias, WhatsApp Business y demás canales habilitados.
- De aliados comerciales, siempre que medie autorización del Titular y un contrato de transmisión de datos.
- De fuentes públicas y bases de acceso público (Cámara de Comercio, RUT, listas vinculantes y restrictivas).
- De Encargados del Tratamiento contratados por EKI, en el marco de la prestación de los servicios.
9. Finalidades del Tratamiento
Los datos personales recolectados por EKI son tratados con las siguientes finalidades, todas ellas legítimas, explícitas y vinculadas a la operación de EKI:
9.1. Finalidades contractuales y operativas
- Ejecución del contrato de prestación de servicios y cumplimiento de los Términos y Condiciones.
- Verificación de identidad y elegibilidad bajo el Marco Normativo de incentivos.
- Estructuración, radicación y seguimiento de la solicitud del Certificado UPME ante la Autoridad Competente.
- Atención de comunicaciones, requerimientos y trámites con la UPME y demás autoridades.
- Facturación electrónica, cobro y gestión de cartera.
- Atención de PQRS y soporte técnico y comercial.
9.2. Finalidades de cumplimiento
- Cumplimiento de obligaciones legales, contables, tributarias y regulatorias.
- Aplicación de procedimientos KYC, SAGRILAFT, prevención de lavado de activos y financiación del terrorismo, soborno trasnacional y demás riesgos asociados.
- Atención de requerimientos de autoridades administrativas o judiciales.
9.3. Finalidades de seguridad y mejora del servicio
- Análisis estadístico interno y métricas operativas (sobre datos disociados o agregados cuando sea posible).
- Detección, prevención e investigación de actividades fraudulentas o contrarias a los Términos y Condiciones.
- Mejoramiento de la Plataforma, los modelos de elegibilidad y la experiencia del usuario.
9.4. Finalidades de comunicación comercial (con autorización separada)
- Envío de información sobre nuevos servicios, contenidos educativos, eventos y oportunidades regulatorias relevantes para el Titular.
- Realización de encuestas de satisfacción y estudios de mercado.
La Autorización para finalidades comerciales es independiente y revocable en cualquier momento, sin afectar la prestación del servicio principal.
10. Autorización del Titular
EKI obtiene la Autorización del Titular por medios idóneos que permiten su consulta posterior, incluyendo: (i) aceptación electrónica mediante casillas en formularios; (ii) suscripción del mandato y de los Términos y Condiciones; (iii) respuesta afirmativa documentada por canales oficiales; o (iv) cualquier conducta inequívoca que permita concluir razonablemente que el Titular consintió.
La Autorización se solicita antes o al momento de la recolección, identificando al Responsable, las finalidades, el carácter facultativo de las respuestas a preguntas sobre datos sensibles o de menores, los derechos del Titular y los canales para ejercerlos. EKI conserva la prueba de la Autorización en condiciones que aseguran su integridad y trazabilidad.
11. Derechos del Titular
Son derechos del Titular los siguientes:
- Conocer, actualizar y rectificar sus datos personales.
- Solicitar prueba de la Autorización otorgada.
- Ser informado, previa solicitud, sobre el uso que se ha dado a sus datos personales.
- Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la normativa.
- Revocar la Autorización y/o solicitar la supresión del dato cuando no se respeten los principios, derechos y garantías constitucionales y legales, o cuando hayan dejado de ser necesarios para las finalidades.
- Acceder en forma gratuita a los datos personales que hayan sido objeto de Tratamiento.
- Oponerse al Tratamiento con fines de marketing directo y a decisiones automatizadas que produzcan efectos jurídicos significativos, en armonía con buenas prácticas internacionales.
- Solicitar la portabilidad de sus datos en formato estructurado, cuando sea técnicamente viable y proporcional.
12. Mecanismos para el ejercicio de derechos
12.1. Canales de atención
- Correo electrónico: info@ekimovilidad.com
- Sitio web: formulario disponible en ekimovilidad.com/privacidad
- Correspondencia física: dirigida al área de Privacidad de EKI Movilidad S.A.S., en la dirección informada en la sección 1.
12.2. Procedimiento de consultas
Las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado los motivos y la fecha en que se atenderá la consulta, la cual no podrá superar los cinco (5) días hábiles adicionales.
12.3. Procedimiento de reclamos
Los reclamos deberán contener: (i) identificación del Titular; (ii) descripción de los hechos; (iii) dirección y datos de contacto; y (iv) documentos que se quieran hacer valer. Si el reclamo resulta incompleto, EKI requerirá al interesado dentro de los cinco (5) días siguientes para que subsane las fallas. Transcurridos dos (2) meses desde el requerimiento sin respuesta, se entenderá desistido el reclamo.
Una vez recibido el reclamo completo, se incluirá en la Base de Datos una leyenda que diga "reclamo en trámite" y la naturaleza del mismo, en un término no mayor a dos (2) días hábiles. El término máximo para atender el reclamo será de quince (15) días hábiles, prorrogables por ocho (8) días hábiles adicionales mediante notificación al interesado.
12.4. Procedimiento ante la SIC
El Titular sólo podrá elevar queja ante la SIC una vez haya agotado el trámite de consulta o reclamo ante EKI, conforme al artículo 16 de la Ley 1581 de 2012.
13. Encargados del Tratamiento
EKI puede compartir datos personales con Encargados del Tratamiento que actúan por cuenta de EKI bajo contratos de transmisión de datos personales, los cuales contienen, como mínimo, las siguientes obligaciones del Encargado:
- Tratar los datos exclusivamente conforme a las instrucciones documentadas de EKI.
- Mantener la confidencialidad de los datos.
- Aplicar medidas de seguridad equivalentes o superiores a las de EKI.
- Devolver o suprimir los datos al término del encargo.
- Permitir auditorías y atender requerimientos de los Titulares.
Las categorías típicas de Encargados de EKI incluyen: proveedores de infraestructura cloud y bases de datos (incluyendo proveedores con presencia en Estados Unidos y la Unión Europea), proveedores de mensajería y comunicaciones (WhatsApp Business, correo transaccional), pasarelas de pago, firmas de auditoría externa, asesores legales y proveedores de KYC y listas vinculantes.
14. Transferencia y transmisión internacional de datos
EKI podrá transferir o transmitir datos personales a terceros ubicados fuera de Colombia cuando ello sea necesario para la prestación de los servicios. En todos los casos, EKI velará porque:
- El destinatario otorgue niveles adecuados de protección, equivalentes o superiores a los previstos por la legislación colombiana.
- Cuando el país de destino no haya sido declarado por la SIC como país con nivel adecuado de protección, EKI implementará Cláusulas Contractuales Tipo, Reglas Corporativas Vinculantes u otros mecanismos reconocidos.
- El Titular sea informado de la transferencia o transmisión y, cuando corresponda, otorgue Autorización específica.
15. Medidas de seguridad
EKI adopta un programa de seguridad de la información integral, basado en el principio de responsabilidad demostrada y orientado a las normas ISO/IEC 27001 e ISO/IEC 27701, que comprende:
15.1. Medidas técnicas
- Cifrado en tránsito (TLS 1.2 o superior) y en reposo (AES-256) de las bases de datos que contienen datos personales.
- Autenticación multifactor para accesos administrativos a la Plataforma y a los repositorios documentales.
- Segregación de ambientes de desarrollo, pruebas y producción.
- Monitoreo, registros de auditoría (logs) y alertas de seguridad.
- Pruebas periódicas de vulnerabilidades y, cuando sea proporcional al riesgo, pruebas de penetración.
- Copias de seguridad cifradas con políticas de retención y restauración probadas.
15.2. Medidas administrativas y organizativas
- Política de control de accesos basada en el principio de mínimo privilegio y necesidad de conocer.
- Capacitación periódica obligatoria a los colaboradores en protección de datos y ciberseguridad.
- Gobernanza interna a cargo del Oficial de Privacidad / DPO, con reporte directo a la administración.
- Acuerdos de confidencialidad con todo el personal y los terceros con acceso a datos.
- Inventario y mapeo de Bases de Datos, registro de actividades de Tratamiento y registro nacional ante la SIC (RNBD), cuando aplique.
- Evaluaciones de impacto en privacidad (PIA / DPIA) para nuevos productos, integraciones o cambios sustanciales.
15.3. Medidas físicas
- Acceso restringido a las áreas en las que se trate documentación física.
- Custodia segura y supresión documentada de soportes físicos al final de su ciclo de vida.
16. Conservación y supresión de datos
EKI conserva los datos personales únicamente por el tiempo razonable y necesario para cumplir con las finalidades declaradas, las obligaciones legales aplicables y la atención de eventuales reclamaciones. A título indicativo:
| Categoría | Plazo orientativo de conservación |
|---|---|
| Datos contractuales y de identificación | 10 años desde la terminación del contrato (prescripción ordinaria, art. 2536 C.C.) |
| Datos contables y tributarios | Mínimo 10 años (art. 28 Ley 962/2005, art. 632 E.T. y demás) |
| Documentación KYC/SAGRILAFT | Mínimo 10 años desde la terminación del vínculo |
| Datos de marketing | Hasta la revocatoria de la Autorización por el Titular |
| Logs y registros de seguridad | Mínimo 2 años, según mejores prácticas de ciberseguridad |
| Cookies y datos de navegación | Conforme al numeral 19 y a la política de cookies |
Vencidos los plazos, EKI procederá a la supresión, anonimización o disociación irreversible de los datos personales, salvo que medie una obligación legal de conservación más extensa o un interés legítimo demostrable.
17. Notificación de incidentes de seguridad
EKI cuenta con un protocolo formal de gestión de incidentes que incluye detección, contención, erradicación, recuperación y lecciones aprendidas. Frente a la materialización de un incidente que afecte datos personales:
- EKI notificará a la SIC en el menor tiempo posible, conforme al estándar fijado por dicha autoridad.
- EKI notificará a los Titulares afectados cuando el incidente pueda generar riesgos significativos a sus derechos, indicando la naturaleza del incidente, la información comprometida, las medidas adoptadas y las recomendaciones para mitigar el impacto.
- EKI documentará el incidente y las acciones de respuesta en su registro interno.
18. Decisiones automatizadas y elaboración de perfiles
EKI podrá utilizar procesos automatizados para validar elegibilidad y priorizar trámites. Cuando una decisión automatizada produzca efectos jurídicos significativos sobre el Titular, éste tendrá derecho a obtener intervención humana, expresar su punto de vista, recibir una explicación razonable y, cuando proceda, impugnar la decisión, en línea con buenas prácticas internacionales (artículo 22 GDPR). Las decisiones automatizadas no se basarán en datos sensibles, salvo en los supuestos expresamente autorizados por el Titular y permitidos por la ley.
19. Cookies y tecnologías similares
La Plataforma utiliza cookies propias y de terceros con finalidades técnicas, analíticas y, previa Autorización separada, de marketing. Al ingresar por primera vez, el Titular podrá aceptar, rechazar o configurar las cookies no esenciales mediante un banner de cookies. La política específica de cookies estará disponible en ekimovilidad.com/cookies y describirá las categorías, finalidades, plazos de retención y proveedores asociados.
20. Programa Integral de Gestión de Datos Personales (PIGDP)
Conforme a la Circular 002 de 2022 de la SIC, EKI mantiene un Programa Integral de Gestión de Datos Personales que incluye:
- Designación formal del Oficial de Privacidad y asignación de responsabilidades.
- Inventario y mapeo de Tratamientos, flujos de datos y Encargados.
- Análisis de riesgos en privacidad y planes de mitigación.
- Programa de formación y cultura de protección de datos.
- Auditorías internas anuales y revisión por la administración.
- Plan de continuidad y de respuesta a incidentes.
- Mecanismos de mejora continua y métricas de cumplimiento.
21. Modificaciones de la Política
EKI podrá actualizar la presente Política para reflejar cambios normativos, organizacionales o tecnológicos. Las modificaciones sustanciales serán comunicadas a los Titulares por los canales oficiales con una antelación mínima de quince (15) días hábiles a su entrada en vigencia. La continuidad en el uso de los servicios después de la entrada en vigencia equivaldrá a aceptación de las modificaciones, sin perjuicio del derecho del Titular a revocar su Autorización conforme al numeral 11.
22. Vigencia
La presente Política entra en vigencia el 24 de abril de 2026 y se mantendrá vigente hasta que sea reemplazada por una nueva versión publicada por EKI en los canales oficiales. Las Bases de Datos administradas por EKI tendrán vigencia mientras subsistan las finalidades del Tratamiento, salvo que normas especiales o el Titular dispongan lo contrario.
23. Contacto y consultas
Para cualquier inquietud relacionada con la presente Política o con el Tratamiento de sus datos personales, el Titular puede contactarnos en:
Alea Consultores S.A.S. (Eki Movilidad) — Área de Privacidad
- Correo: info@ekimovilidad.com
- PQRS: info@ekimovilidad.com
- Sitio web: ekimovilidad.com/privacidad
- Domicilio: Bogotá D.C., Colombia (sin dirección física al público; notificaciones electrónicas)