Politica de Tratamiento de Datos Personales

Version 2.0 | Ultima actualizacion: 7 de abril de 2026

1. Identificacion del Responsable del Tratamiento

Campo	Informacion
Razon social	ZATO I.A SAS
NIT	901.939.032-5
Domicilio	Bogota D.C., Colombia, Bogota D.C., Colombia
Correo electronico	[email protected]
WhatsApp	+57 322 722 7791
Sitio web	zatoautopilotbot.com

2. Marco Legal

La presente politica se rige por las siguientes disposiciones normativas de la Republica de Colombia:

Articulo 15 de la Constitucion Politica: derecho a la intimidad y al habeas data.
Ley Estatutaria 1581 de 2012: regimen general de proteccion de datos personales.
Decreto 1377 de 2013: reglamentacion parcial de la Ley 1581 de 2012.
Decreto 1074 de 2015: Decreto Unico Reglamentario del Sector Comercio, Industria y Turismo (Titulo 2, Capitulos 25 y 26).
Circular Externa 002 de 2015 de la SIC: lineamientos sobre politicas de tratamiento de datos.

3. Definiciones

Para los efectos de esta politica, se adoptan las definiciones establecidas en el articulo 3 de la Ley 1581 de 2012:

Dato personal: cualquier informacion vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Titular: persona natural cuyos datos personales sean objeto de tratamiento.
Responsable del tratamiento: persona natural o juridica que decide sobre la base de datos y/o el tratamiento de los datos (ZATO I.A SAS, respecto de los datos de sus Usuarios).
Encargado del tratamiento: persona natural o juridica que realiza el tratamiento de datos personales por cuenta del responsable. ZATO I.A SAS actua como Encargado del Tratamiento respecto de los datos personales de los clientes finales de sus Usuarios.
Tratamiento: cualquier operacion sobre datos personales, tales como la recoleccion, almacenamiento, uso, circulacion o supresion.
Autorizacion: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento.
Dato sensible: dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminacion (origen racial, orientacion politica, datos de salud, vida sexual, datos biometricos, entre otros).

4. Principios del Tratamiento

ZATO I.A SAS se compromete a respetar los siguientes principios en el tratamiento de datos personales, conforme al articulo 4 de la Ley 1581 de 2012:

Legalidad: el tratamiento se sujeta a las disposiciones legales vigentes.
Finalidad: el tratamiento obedece a una finalidad legitima, la cual es informada al titular.
Libertad: el tratamiento solo se lleva a cabo con la autorizacion previa, expresa e informada del titular.
Veracidad: la informacion sujeta a tratamiento debe ser veraz, completa, exacta, actualizada y comprobable.
Transparencia: el titular puede solicitar informacion sobre la existencia de datos que le conciernan en cualquier momento.
Acceso y circulacion restringida: el tratamiento se sujeta a los limites derivados de la naturaleza de los datos.
Seguridad: la informacion se maneja con las medidas tecnicas, humanas y administrativas necesarias para otorgar seguridad a los registros.
Confidencialidad: todas las personas que intervengan en el tratamiento estan obligadas a garantizar la reserva de la informacion.

5. Tipos de Datos Tratados y Finalidades

5.1. Datos de identificacion y contacto

Dato	Finalidad
Nombre completo	Identificacion del titular, gestion de cuenta, personalizacion del servicio
Correo electronico	Envio de comunicaciones del servicio, notificaciones, recuperacion de cuenta
Numero de telefono	Integracion con canales de mensajeria (WhatsApp), soporte tecnico
Documento de identidad (cuando aplique)	Verificacion de identidad para ejercicio de derechos del titular

5.2. Datos del negocio del cliente

Dato	Finalidad
Nombre del negocio y sector	Configuracion del chatbot, personalizacion de respuestas
Catalogo de productos o servicios	Generacion de embeddings para busqueda semantica en el chatbot
Informacion comercial (horarios, ubicacion, precios)	Alimentar la base de conocimiento del chatbot

5.3. Datos generados por el uso del servicio

Dato	Finalidad
Conversaciones con el chatbot	Procesamiento de IA para generacion de respuestas; mejora del servicio
Datos de clientes finales (nombre, telefono via WhatsApp)	Atencion al cliente del negocio; CRM integrado (segun plan contratado)
Metadatos de interaccion	Estadisticas de uso, optimizacion del servicio, generacion de inteligencia de mercado agregada y anonimizada
Direccion IP, datos del navegador	Seguridad, prevencion de fraude

Uso de datos agregados y anonimizados como activo de ZATO: ZATO I.A SAS podra utilizar datos agregados y anonimizados de manera irreversible — de forma que sea imposible identificar a personas naturales especificas — para el entrenamiento y optimizacion de modelos de inteligencia artificial propios, la generacion de inteligencia de mercado sectorial y el desarrollo del producto. Este uso esta basado en el interes legitimo de ZATO conforme al articulo 6.1.f del RGPD y en las finalidades declaradas al titular al momento de la recoleccion. ZATO no vendera ni cedera datos individuales identificables a terceros bajo ninguna circunstancia.

5.4. Datos sensibles

ZATO I.A SAS no recopila ni trata datos sensibles de forma intencional. Si en el curso de una conversacion un cliente final proporciona datos sensibles al chatbot, estos se almacenan unicamente como parte del registro de la conversacion y no se utilizan para ninguna otra finalidad. El Usuario, como Responsable del Tratamiento frente a sus clientes finales, es el obligado a informarles sobre este tratamiento y a adoptar las medidas necesarias para evitar la recopilacion no autorizada de datos sensibles a traves del chatbot.

6. Autorizacion para el Tratamiento de Datos

6.1. Mecanismos de obtencion de autorizacion

ZATO I.A SAS obtiene la autorizacion del titular a traves de los siguientes mecanismos:

Formulario de registro: al crear una cuenta en la plataforma, el usuario acepta expresamente esta politica y autoriza el tratamiento de sus datos.
Aceptacion electronica: mediante casillas de verificacion o botones de aceptacion en los formularios digitales.
Conducta inequivoca: el uso continuado del servicio despues de haber sido informado de esta politica constituye autorizacion tacita conforme al Decreto 1377 de 2013.

6.2. Autorizacion para clientes finales y distincion de roles

Los clientes finales que interactuan con los chatbots son informados al inicio de la conversacion de que sus datos seran tratados conforme a esta politica mediante el mecanismo automatizado de consentimiento dispuesto por ZATO.

En cuanto a la distribucion de responsabilidades:

ZATO I.A SAS actua exclusivamente como Encargado del Tratamiento respecto de los datos personales de los clientes finales, procesando dichos datos unicamente para prestar el servicio contratado por el Usuario.
El Usuario (titular del negocio) actua como Responsable del Tratamiento frente a sus clientes finales y asume todas las obligaciones legales que ello implica, incluyendo la obtencion de autorizaciones validas, la atencion de solicitudes de derechos y el cumplimiento de la normativa aplicable en su jurisdiccion.

Esta distincion de roles es consistente con lo establecido en los Terminos y Condiciones del servicio y con las definiciones del articulo 3 de la Ley 1581 de 2012.

6.3. Prueba de la autorizacion

ZATO I.A SAS conserva los registros de autorizacion (logs de aceptacion con fecha, hora e IP) como prueba del consentimiento otorgado por el titular, conforme al articulo 7 del Decreto 1377 de 2013.

7. Derechos del Titular

De conformidad con el articulo 8 de la Ley 1581 de 2012, el titular de los datos tiene los siguientes derechos:

Derecho de acceso o consulta: conocer los datos personales almacenados en nuestras bases de datos y el uso que se les ha dado.
Derecho de actualizacion: solicitar la actualizacion de datos parciales, inexactos, incompletos o fraccionados.
Derecho de rectificacion: solicitar la correccion de informacion que resulte imprecisa o erronea.
Derecho de supresion: solicitar la eliminacion de los datos cuando (i) no sean necesarios para la finalidad para la cual fueron recopilados, (ii) el titular revoque su autorizacion, o (iii) se haya superado el periodo de tratamiento autorizado.
Derecho de revocatoria: revocar la autorizacion otorgada para el tratamiento en cualquier momento, salvo cuando exista un deber legal o contractual de permanencia.
Derecho de solicitar prueba de autorizacion: solicitar al responsable la prueba de la autorizacion otorgada.
Derecho de presentar quejas ante la SIC: presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la normativa de proteccion de datos, previo tramite de consulta o reclamo ante el responsable.

Importante: La revocatoria de la autorizacion y/o la supresion de datos procedera cuando la Superintendencia de Industria y Comercio haya determinado que el responsable o encargado ha incurrido en conductas contrarias a la ley o la Constitucion, o cuando no exista obligacion legal o contractual que impida la eliminacion.

8. Procedimiento para Ejercer Derechos (Consultas y Reclamos)

8.1. Consultas (Articulo 14, Ley 1581 de 2012)

El titular o sus causahabientes podran consultar la informacion personal que repose en las bases de datos de ZATO I.A SAS enviando una solicitud a [email protected] con la siguiente informacion:

Nombre completo del titular.
Numero de documento de identidad.
Descripcion de la consulta.
Direccion de contacto (fisica o electronica) para recibir la respuesta.

Plazo de respuesta: maximo 10 dias habiles contados a partir de la fecha de recibo de la solicitud. Cuando no fuere posible atenderla dentro de dicho termino, se informara al interesado y se respondera dentro de los 5 dias habiles siguientes al vencimiento del primer plazo.

8.2. Reclamos (Articulo 15, Ley 1581 de 2012)

El titular que considere que la informacion contenida en una base de datos debe ser objeto de correccion, actualizacion o supresion, o cuando advierta el presunto incumplimiento de la ley, podra presentar un reclamo que debera contener:

Identificacion del titular (nombre y documento).
Descripcion de los hechos que dan lugar al reclamo.
Direccion de contacto.
Documentos que soporten el reclamo (si aplica).

Requisito de completitud: si el reclamo resulta incompleto, se requerira al interesado dentro de los 5 dias habiles siguientes a la recepcion del reclamo para que subsane las fallas. Transcurridos 2 meses desde la fecha del requerimiento sin que el solicitante presente la informacion requerida, se entendera que ha desistido del reclamo.

Plazo de respuesta: maximo 15 dias habiles contados a partir del dia siguiente a la fecha de recibo del reclamo completo. Cuando no fuere posible atenderlo dentro de dicho termino, se informara al interesado los motivos de la demora y la fecha en que se atendera su reclamo, la cual en ningun caso podra superar los 8 dias habiles siguientes al vencimiento del primer termino.

8.3. Procedimiento PQR (Peticiones, Quejas y Reclamos)

El titular envia su solicitud al correo [email protected].
ZATO acusa recibo de la solicitud dentro de los 2 dias habiles siguientes.
Si la solicitud esta incompleta, se solicita al titular complementarla en un plazo de 5 dias habiles.
Se evalua la solicitud y se procede conforme a la ley.
Se comunica la respuesta al titular dentro de los plazos legales.
Si el titular no esta satisfecho con la respuesta, puede acudir ante la SIC.

9. Transferencia y Transmision de Datos

9.1. Transmision a encargados del tratamiento

ZATO I.A SAS puede transmitir datos personales a los siguientes encargados para el cumplimiento de las finalidades descritas en esta politica:

Tipo de encargado	Ubicacion	Funcion
Proveedor de infraestructura y almacenamiento	Union Europea (Francia)	Almacenamiento seguro de datos
Proveedores de inteligencia artificial	Estados Unidos / Global	Procesamiento de lenguaje natural para generacion de respuestas
Plataformas de mensajeria (Meta Platforms, Inc.)	Estados Unidos / Global	Canales de comunicacion (WhatsApp, Facebook, Instagram)
Proveedores de seguridad y distribucion de contenido	Global	Proteccion web y mitigacion de amenazas
Proveedores de comunicaciones electronicas	Estados Unidos	Envio de correos electronicos transaccionales

9.2. Transferencias internacionales

Las transferencias internacionales de datos se realizan conforme al articulo 26 de la Ley 1581 de 2012. ZATO I.A SAS garantiza que los destinatarios de los datos mantienen niveles de proteccion adecuados y que existen contratos o compromisos de confidencialidad vigentes.

9.3. Prohibicion de venta de datos

ZATO I.A SAS no vende, alquila ni comercializa datos personales identificables a terceros bajo ninguna circunstancia.

10. Medidas de Seguridad

ZATO I.A SAS implementa medidas de seguridad de tipo tecnico, humano y administrativo para proteger los datos personales contra acceso no autorizado, perdida, alteracion o destruccion.

10.1. Medidas tecnicas

Cifrado de datos en transito mediante TLS/HTTPS.
Base de datos protegida por firewall con acceso exclusivo mediante tuneles SSH.
Contrasenas almacenadas con funciones de hash seguras (bcrypt).
Autenticacion mediante tokens JWT con expiracion.
Copias de seguridad periodicas de las bases de datos.
Monitoreo automatizado de la infraestructura.

10.2. Medidas administrativas

Acceso a datos restringido al personal estrictamente necesario.
Compromisos de confidencialidad para todo el personal.
Revision periodica de permisos y accesos.

11. Registro Nacional de Bases de Datos (RNBD)

ZATO I.A SAS inscribira sus bases de datos cuando cumpla los umbrales establecidos por la Superintendencia de Industria y Comercio en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio, conforme a lo dispuesto en el articulo 25 de la Ley 1581 de 2012 y el Decreto 886 de 2014, dentro de los plazos establecidos para ello.

12. Tratamiento de Datos de Menores de Edad

Los servicios de ZATO Autopilot Bot estan dirigidos exclusivamente a personas mayores de edad y a personas juridicas. ZATO I.A SAS no recopila intencionalmente datos de menores de edad.

Legislacion colombiana (Ley 1581 de 2012, Art. 7): queda proscrito el tratamiento de datos personales de ninos, ninas y adolescentes, salvo que se trate de datos de naturaleza publica y dicho tratamiento responda al interes superior del menor.
COPPA: no recopilamos, utilizamos ni divulgamos informacion personal de menores de 13 anos de edad.
GDPR (Art. 8): para usuarios en la Union Europea, no procesamos datos de menores de 16 anos sin el consentimiento verificable de su padre o tutor legal.

En caso de identificar que se han recopilado datos de un menor, se procedera a su eliminacion inmediata. Los padres o tutores legales pueden contactar a [email protected] en cualquier momento para solicitar informacion sobre los datos de sus hijos o su eliminacion.

13. Derecho a la Portabilidad de Datos

El titular tiene derecho a recibir los datos personales que ha proporcionado a ZATO I.A SAS en un formato estructurado, de uso comun y lectura mecanica. ZATO ofrece la exportacion de datos en formato CSV o JSON, lo que permite al titular transferir sus datos a otro responsable del tratamiento sin impedimentos.

Para ejercer este derecho, el titular debe enviar una solicitud a [email protected] indicando el formato preferido. La solicitud sera procesada dentro de los siguientes plazos:

10 dias habiles para consultas conforme a la Ley 1581 de 2012.
30 dias calendario para titulares en la Union Europea conforme al RGPD.

14. Autoridad de Control en la Union Europea

Los titulares ubicados en el Espacio Economico Europeo que consideren que el tratamiento de sus datos personales infringe el RGPD tienen derecho a presentar una reclamacion ante la autoridad de proteccion de datos del Estado miembro en el que residan, trabajen o en el que se haya producido la presunta infraccion.

En tanto los servidores de ZATO se encuentran ubicados en Francia, la autoridad de referencia es:

Commission Nationale de l'Informatique et des Libertes (CNIL) Sitio web: www.cnil.fr Direccion: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia

En caso de que la infraestructura de almacenamiento migre a otro Estado miembro de la UE, ZATO actualizara esta seccion para reflejar la autoridad competente correspondiente, con al menos 15 dias calendario de anticipacion.

15. Vigencia y Modificaciones

La presente politica entra en vigencia a partir del 7 de abril de 2026 y permanecera vigente mientras ZATO I.A SAS continue operando y tratando datos personales.

ZATO I.A SAS se reserva el derecho de modificar esta politica en cualquier momento. Cualquier cambio sustancial sera comunicado a los titulares a traves de los canales disponibles (correo electronico, plataforma web) con una antelacion minima de 15 dias calendario, en coherencia con lo establecido en los Terminos y Condiciones y la Politica de Privacidad del servicio. El uso continuado del servicio tras la notificacion constituye aceptacion de las modificaciones.

Las bases de datos seran conservadas mientras subsista la finalidad para la cual fueron recolectados los datos, o mientras exista una obligacion legal de conservacion.

Cada version de esta politica sera identificada con numero de version y fecha de entrada en vigencia.

16. Canal de Atencion al Titular

Para el ejercicio de cualquiera de los derechos aqui descritos, el titular podra comunicarse con ZATO I.A SAS a traves de:

Correo electronico: [email protected]
WhatsApp: +57 322 722 7791
Sitio web: zatoautopilotbot.com

16.1. Autoridad de control en Colombia

En caso de que el titular no se encuentre satisfecho con la respuesta proporcionada por ZATO I.A SAS, podra acudir ante la Superintendencia de Industria y Comercio (SIC), autoridad de proteccion de datos en Colombia:

Sitio web: www.sic.gov.co
Linea gratuita: 018000-910165
Direccion: Carrera 13 No. 27-00, Pisos 1 al 7, Bogota D.C.