Política de Tratamiento de Datos Personales

Esta Política se rige por:

• Constitución Política de Colombia, artículo 15 (habeas data)
• Ley 1581 de 2012 — Estatuto General de Protección de Datos Personales
• Decreto 1377 de 2013 — reglamentación parcial
• Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, Libro 2 Parte 2 Título 4 Capítulo 25
• Circulares vigentes de la Superintendencia de Industria y Comercio (SIC) sobre protección de datos personales

MeTRIK SAS opera bajo dos roles diferenciados, según la relación específica:

MeTRIK SAS trata datos personales para las siguientes finalidades:

1. 5.1.Prestación del servicio MéTRIK Valida de validación contra listas SARLAFT, incluyendo procesamiento de consultas solicitadas por Clientes, generación de reportes auditables (PDF) con hash de integridad, y conservación de bitácora auditable de consultas por el tiempo exigido por la normativa SARLAFT (cinco años conforme a la Ley 1121 de 2006 y reglamentación SFC, Supersociedades y Supertransporte aplicable).
2. 5.2.Mantenimiento, actualización y verificación de versiones de las listas oficiales consultadas, incluyendo ejecución de scrapers automatizados y almacenamiento de versiones con hash SHA-256.
3. 5.3.Atención de derechos de los Titulares (ARCO).
4. 5.4.Cumplimiento de obligaciones legales, fiscales, contables y regulatorias colombianas.
5. 5.5.Generación de estadísticas agregadas y anónimas para mejora del Servicio y monitoreo de calidad.
6. 5.6.Comunicación con Clientes sobre el Servicio (operativa y comercial).
7. 5.7.Atención de requerimientos de autoridades competentes en el marco de procedimientos legalmente válidos.

MeTRIK SAS trata datos personales con fundamento en las siguientes bases legales, conforme al artículo 6 de la Ley 1581 de 2012:

El Titular podrá ejercer en cualquier momento los siguientes derechos:

1. 7.1.Conocer, actualizar y rectificar sus datos personales frente a MeTRIK SAS.
2. 7.2.Solicitar prueba de la autorización otorgada, salvo cuando aplique alguna excepción legal del artículo 10 de la Ley 1581.
3. 7.3.Ser informado sobre el uso que se ha dado a sus datos personales.
4. 7.4.Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la normativa.
5. 7.5.Revocar la autorización y/o solicitar la supresión del dato, cuando proceda. Excepción: la solicitud no procederá cuando exista una obligación legal o contractual que imponga la conservación, incluyendo la obligación de conservar bitácora de consultas SARLAFT por cinco (5) años conforme a la Ley 1121 de 2006 Art. 27, la Circular Básica Jurídica SFC C.E. 006/25 Parte I Título IV Cap. IV, la Circular Externa 100-000016/2020 Supersociedades y la Resolución 2328/2025 Supertransporte, según el régimen aplicable al sujeto obligado, así como las Resoluciones UIAF sobre conservación de información asociada a ROS.
6. 7.6.Acceder en forma gratuita a sus datos personales objeto de Tratamiento.

8.2. Identificación obligatoria del solicitante

La solicitud debe incluir:

• Nombre completo del Titular y número de documento de identidad
• Descripción específica de los datos objeto de la solicitud
• Tipo de solicitud (acceso, rectificación, actualización, supresión, oposición)
• Documento de identidad escaneado (cédula colombiana, cédula de extranjería, pasaporte)
• Cuando aplique, prueba del vínculo legal del solicitante (causahabiente, representante legal, apoderado)

8.3. Plazos de respuesta (Ley 1581 artículo 14)

8.4. Reclamo incompleto. Si el reclamo es incompleto, MeTRIK SAS requerirá al solicitante para que subsane las fallas dentro de los cinco (5) días siguientes a la recepción. Si el solicitante no las subsana en dos (2) meses, se entiende desistido.

8.5. Recurso ante la SIC. Si MeTRIK SAS no atiende la solicitud o lo hace de manera insatisfactoria, el Titular puede acudir ante la Superintendencia de Industria y Comercio.

9.1. MeTRIK SAS, para la prestación del Servicio, transfiere y/o transmite datos personales a las siguientes empresas:

9.3. Los proveedores referidos cuentan con certificaciones SOC 2 Type II, ISO 27001 y/o equivalentes que acreditan estándares razonables de protección de datos.

10.1. MeTRIK SAS implementa medidas técnicas, humanas y administrativas razonables para proteger los datos personales contra adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, incluyendo:

• Cifrado en tránsito (TLS 1.2 o superior)
• Cifrado en reposo en bases de datos
• Autenticación por api_key con hash SHA-256
• Registros auditables de acceso
• Segregación de ambientes (producción, desarrollo, pruebas)
• Backups con retención conforme a las obligaciones legales

10.2. Pese a las medidas implementadas, MeTRIK SAS no garantiza que el Tratamiento esté libre de incidentes de seguridad, sino que aplica las medidas razonables conforme al estado del arte.

11.1. En caso de violación de los códigos de seguridad que comprometa la integridad, confidencialidad o disponibilidad de los datos personales, MeTRIK SAS:

• Comunicará el incidente a la SIC dentro de los quince (15) días hábiles siguientes al momento en que se detecte (Decreto 1377 de 2013 y reglamentación concordante).
• Notificará a los Titulares afectados por el canal más expedito y razonable cuando la afectación sea relevante.
• Documentará el incidente en bitácora interna con análisis de causa raíz, plan de mitigación y medidas adoptadas para evitar reincidencia.

12.1. Los datos personales serán tratados durante el tiempo razonable y necesario para cumplir las finalidades, atendiendo las obligaciones legales aplicables:

12.2. Vencido el período legal de conservación, los datos serán suprimidos o anonimizados de forma irreversible, salvo orden de autoridad competente que disponga su conservación adicional.

1. 13.1.MeTRIK SAS no recolecta voluntariamente datos sensibles ni datos de menores de edad. En caso de que un Cliente envíe accidentalmente datos sensibles o de menores para consulta, MeTRIK SAS tratará dichos datos exclusivamente para responder la consulta solicitada, conforme a las finalidades del Servicio.
2. 13.2.El tratamiento de datos sensibles está prohibido conforme al artículo 6 de la Ley 1581, salvo las excepciones legales y la autorización expresa del Titular.
3. 13.3.Tratamiento especial de información sobre presunta vinculación a actividades delictivas. Los matches en listas vinculantes (ONU, CSN Colombia) y de referencia (OFAC, EU, INTERPOL) pueden contener información sobre presunta vinculación de personas a actividades delictivas. Aunque esta información no constituye dato sensible en los términos del artículo 5 de la Ley 1581 de 2012 (que enumera taxativamente los datos sobre salud, vida sexual y biométricos como sensibles), MeTRIK SAS aplica medidas de seguridad reforzadas en su tratamiento. Su procesamiento se realiza con base en el cumplimiento de obligaciones legales del sujeto obligado (artículo 10 literal a y artículo 6 de la Ley 1581) y se conserva conforme al plazo SARLAFT aplicable.

14.1. Modificación de la Política. MeTRIK SAS podrá modificar esta Política. Las modificaciones se publicarán en valida.metrik.com.co/recursos/privacidad y se considerarán vigentes desde su publicación. En caso de modificaciones sustanciales relacionadas con la finalidad del Tratamiento o la identidad del Responsable, MeTRIK SAS notificará al Titular conforme al artículo 21 del Decreto 1377 de 2013.

14.2. Naturaleza no legal. Esta Política es un instrumento informativo y de cumplimiento normativo. No constituye asesoría legal ni reemplaza el deber del Cliente de implementar su propio régimen de protección de datos conforme a su rol.

Versión 1.0 · vigente desde 15 de mayo de 2026.