Política de Tratamiento de Datos Personales

En cumplimiento de la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y la Circular Externa de la Superintendencia de Industria y Comercio (SIC), Kalkora SAS presenta su Política de Tratamiento de Datos Personales aplicable a los datos recolectados a través del sitio web www.domaerp.com y de los servicios SaaS asociados a la plataforma DOMA.

1. Responsable del Tratamiento

Razón social

Kalkora SAS (en trámite de constitución)

NIT

En trámite ante la DIAN. Será actualizado al recibir asignación oficial.

Ciudad de operación

Medellín, Colombia

Domicilio físico

Operación 100% digital. Kalkora SAS no atiende público en oficina física. Toda notificación formal debe enviarse al correo electrónico de contacto.

Correo electrónico de contacto

kalkorasas@gmail.com

Sitio web oficial

www.domaerp.com

2. Marco Legal

• Constitución Política de Colombia, artículo 15 (derecho al habeas data).
• Ley Estatutaria 1581 de 2012 — Régimen general de protección de datos personales.
• Decreto 1377 de 2013 — Reglamentación parcial de la Ley 1581.
• Circular Externa de la Superintendencia de Industria y Comercio (SIC).

3. Definiciones

• Titular: persona natural cuyos datos personales son objeto del tratamiento.
• Responsable del tratamiento: Kalkora SAS, persona jurídica que decide sobre las bases de datos y el tratamiento.
• Encargado del tratamiento: persona o empresa que realiza el tratamiento por cuenta del responsable (ej: proveedores de infraestructura cloud).
• Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión).
• Dato sensible: dato que afecta la intimidad o cuyo uso indebido puede generar discriminación (origen racial, salud, vida sexual, datos biométricos, etc.).
• Autorización: consentimiento previo, expreso e informado del Titular para el tratamiento.

4. Datos Personales Recolectados

4.1. Datos de leads y prospectos comerciales

Cuando una persona completa el formulario de solicitud de demo en www.domaerp.com, Kalkora SAS recolecta:

• Nombre completo
• Empresa o consultorio
• Correo electrónico de contacto
• Teléfono / WhatsApp (opcional)
• Producto de interés (DOMA ERP, HC Lite, HC Lite Plus)
• Mensaje libre con descripción de la necesidad

4.2. Datos de usuarios de la plataforma DOMA

Una vez contratado un plan, Kalkora SAS gestiona como Encargado los datos de los usuarios que administran la instancia del tenant:

• Correo electrónico (utilizado como identificador único de usuario)
• Nombre, apellido y rol asignado dentro del sistema
• Hash de contraseña (nunca contraseña en texto plano)
• Configuración de doble factor (TOTP)

4.3. Datos de telemetría y auditoría

Para garantizar la seguridad de la plataforma, Kalkora SAS recolecta:

• Dirección IP y user-agent al iniciar sesión
• Marca temporal de operaciones críticas (creaciones, modificaciones, eliminaciones)
• Eventos de auditoría asociados al usuario que los ejecuta

4.4. Datos que Kalkora SAS NO administra como Responsable

Los datos de pacientes, clientes, proveedores, empleados, evoluciones clínicas, facturas y demás información operacional almacenada por cada tenant en su instancia de DOMA son responsabilidad del tenant. Kalkora SAS actúa allí únicamente como Encargado del tratamiento bajo las instrucciones del Responsable (el tenant).

5. Finalidades del Tratamiento

Kalkora SAS trata los datos personales para:

1. Atender solicitudes de demostración, cotización e información comercial.
2. Establecer y mantener la relación contractual de prestación del servicio SaaS DOMA.
3. Crear y administrar cuentas de usuario en la plataforma.
4. Procesar pagos del servicio y emitir facturación electrónica.
5. Enviar comunicaciones operativas (cambios de plan, actualizaciones críticas, vencimientos).
6. Enviar comunicaciones comerciales (boletines, novedades) — únicamente con autorización expresa adicional.
7. Cumplir obligaciones legales y requerimientos de autoridades competentes.
8. Mantener registros de auditoría y seguridad informática.
9. Mejorar la plataforma con análisis estadísticos agregados y anonimizados.

6. Derechos del Titular

El Titular tiene derecho a:

• Acceso: conocer los datos personales que Kalkora SAS posee sobre él.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Cancelación o supresión: solicitar la eliminación de los datos cuando ya no sean necesarios.
• Oposición: negarse al tratamiento de sus datos para finalidades específicas.
• Revocación: retirar la autorización previamente otorgada.
• Consulta: recibir información sobre el uso que se hace de sus datos.
• Portabilidad: recibir copia estructurada de sus datos.
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por incumplimientos.

7. Procedimiento para Ejercer Derechos (ARCO)

Para ejercer cualquiera de los derechos anteriores, el Titular puede:

1. Enviar un correo electrónico a kalkorasas@gmail.com con asunto "Solicitud ARCO", identificándose con nombre completo y número de documento, y describiendo la solicitud.
2. Diligenciar el formulario en línea disponible en www.domaerp.com/solicitud-arco-kalkora.

Tiempos legales de respuesta:

• Consultas: diez (10) días hábiles desde la radicación.
• Reclamos: quince (15) días hábiles desde la radicación.
• En casos justificados, el plazo puede prorrogarse hasta por ocho (8) días hábiles adicionales con notificación previa al Titular.

8. Seguridad de la Información

Kalkora SAS aplica medidas técnicas, humanas y administrativas para garantizar la seguridad de los datos personales:

• Cifrado en tránsito mediante TLS 1.2 o superior en todas las comunicaciones.
• Cifrado at-rest con AES-256-GCM para datos personales identificables (PII).
• Control de acceso basado en roles y permisos atómicos.
• Doble factor de autenticación (TOTP) obligatorio para cuentas de administración.
• Registro de auditoría completo de operaciones críticas.
• Aislamiento multi-tenant a nivel de base de datos.
• Copias de seguridad periódicas con cifrado.

9. Encargados del Tratamiento

Kalkora SAS contrata terceros que actúan como Encargados bajo acuerdos contractuales de tratamiento de datos:

• Microsoft Azure (infraestructura cloud — región Brazil South).
• MongoDB Atlas (almacenamiento de eventos y telemetría).
• Proveedor de envío transaccional de correo (notificaciones operativas).
• Pasarela de pagos (procesamiento de facturación del servicio SaaS).

Estos terceros operan únicamente bajo las finalidades autorizadas y están obligados contractualmente a cumplir las mismas medidas de seguridad que aplica Kalkora SAS.

10. Transferencia Internacional

Algunos Encargados del tratamiento están localizados fuera de Colombia (ej: servidores de Microsoft Azure en Brasil, MongoDB Atlas en Estados Unidos). Kalkora SAS garantiza que estos terceros cumplen con estándares de protección equivalentes a los exigidos por la legislación colombiana.

11. Datos Sensibles y Menores de Edad

Kalkora SAS no recolecta datos sensibles directamente de los visitantes de www.domaerp.com. Los datos clínicos administrados dentro de los tenants de DOMA HC son responsabilidad del tenant correspondiente.

Kalkora SAS no dirige su sitio comercial a menores de edad. Si se recolectan datos de un menor por error, se procederá a su supresión inmediata previa notificación al representante legal.

12. Vigencia y Conservación

Esta Política está vigente desde su fecha de publicación y se mantiene activa mientras Kalkora SAS preste el servicio SaaS DOMA. Los datos personales se conservarán durante el tiempo necesario para cumplir las finalidades descritas y las obligaciones legales aplicables (incluyendo el Estatuto Tributario Art. 632, que exige conservación de información tributaria por diez años).

13. Modificaciones a la Política

Kalkora SAS se reserva el derecho de modificar esta Política. Cualquier cambio sustancial será comunicado al Titular a través del correo electrónico registrado o mediante aviso destacado en www.domaerp.com con al menos diez (10) días hábiles de anticipación a su entrada en vigencia.