Política de Tratamiento de Datos Personales
Versión vigente · Última actualización 2026-05-13 · Cumple Ley 1581/2012 (Habeas Data Colombia), Decreto 1377/2013, PESV (Resolución 40595/2022) y SG-SST (Decreto 1072/2015).
SPIV S.A.S. (en adelante, "SPIV") respeta y protege los datos personales de todos los titulares cuya información reciba a través de su plataforma de inspecciones preoperacionales vehiculares (app móvil + portal web).
1. Responsable del Tratamiento
- Razón social: SPIV S.A.S.
- Correo de protección de datos: protecciondedatos@spivapp.com
- Correo de soporte general: soporte@spivapp.com
- Sitio web: https://www.spivapp.com
- Domicilio: Bogotá D.C., Colombia.
2. Finalidad del Tratamiento
SPIV recolecta y trata datos personales para las siguientes finalidades:
- Gestión de inspecciones preoperacionales vehiculares: registro de quién realiza la inspección, qué vehículo, resultados y evidencia.
- Cumplimiento regulatorio: Resolución 40595/2022 (PESV), Decreto 1072/2015 (SG-SST), y normativa sectorial aplicable.
- Firma electrónica: autenticar al conductor mediante login, timestamp del servidor y geolocalización GPS al momento de la inspección.
- Evidencia fotográfica: capturar fotos del estado del vehículo como soporte de la inspección.
- Gestión de usuarios: administrar cuentas de conductores, supervisores y administradores.
- Comunicaciones: enviar alertas, notificaciones y reportes relacionados con las inspecciones.
- Mejora del servicio: análisis estadístico anonimizado de indicadores de cumplimiento.
3. Datos Personales Recolectados
| Dato | Tipo | Finalidad | Retención |
|---|---|---|---|
| Nombre completo | Personal | Identificación del usuario | 20 años (PESV / SG-SST) |
| Número de cédula | Personal | Autenticación, firma electrónica | 20 años |
| Licencia de conducción | Personal | Verificación de aptitud | 20 años |
| Correo electrónico | Personal | Comunicaciones, recuperación de cuenta | Duración de la relación |
| Celular | Personal | Notificaciones y recuperación de cuenta | Duración de la relación |
| Coordenadas GPS | Sensible | Firma electrónica de inspección | 1-20 años según categoría |
| Fotografías del vehículo | Sensible* | Evidencia de inspección | 1-20 años según categoría |
| PIN de acceso (hash) | Seguridad | Autenticación | Duración de la relación |
| Dirección IP | Técnico | Auditoría y seguridad | 20 años |
| Información del dispositivo | Técnico | Auditoría | 20 años |
*Las fotografías se consideran dato sensible cuando contienen imágenes de personas (Ley 1581/2012 Art. 5).
4. Permisos de la app móvil
La aplicación móvil de SPIV solicita los siguientes permisos. Cada uno es opcional pero necesario para funciones específicas:
- Cámara: capturar fotos como evidencia de la inspección preoperacional. Las fotos se almacenan cifradas en AWS S3 y se asocian únicamente a la inspección correspondiente.
- Ubicación (GPS): registrar las coordenadas al momento de firmar la inspección, como parte de la firma electrónica. La ubicación NO se rastrea fuera del momento de la firma.
- Almacenamiento: guardar fotos pendientes de subir cuando el conductor está offline. Las fotos se eliminan del dispositivo tras sincronizar con el servidor.
- Internet: sincronizar inspecciones con el servidor. La app funciona offline y sincroniza automáticamente cuando hay conexión.
5. Autorización y Consentimiento
Al registrarse en SPIV, el titular otorga autorización previa, expresa e informada para el tratamiento de sus datos personales conforme a esta política. El consentimiento se registra con fecha, hora, dispositivo e IP. La captura de fotografías de evidencia requiere un consentimiento separado y específico que se solicita la primera vez que el conductor usa la cámara.
6. Derechos de los Titulares (ARCO)
De acuerdo con la Ley 1581/2012, los titulares tienen los siguientes derechos:
| Derecho | Descripción | Plazo de respuesta |
|---|---|---|
| Acceso | Consultar qué datos personales suyos están almacenados | 10 días hábiles |
| Rectificación | Solicitar corrección de datos inexactos o incompletos | 15 días hábiles |
| Cancelación | Solicitar eliminación de datos cuando no exista obligación legal de conservarlos | 15 días hábiles |
| Oposición | Oponerse al tratamiento de sus datos para finalidades específicas | 15 días hábiles |
Cómo ejercer sus derechos
- Desde la app móvil: sección "Mis datos" → "Solicitar acceso/rectificación/eliminación".
- Por correo electrónico: protecciondedatos@spivapp.com indicando su nombre completo, cédula y la solicitud.
Limitaciones: cuando exista obligación legal de conservar los datos (Decreto 1072/2015: 20 años para registros de SG-SST), SPIV informará al titular que sus datos serán retenidos por el período legalmente requerido y limitará su tratamiento a esa única finalidad.
7. Medidas de Seguridad
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
- Cifrado en reposo: AES-256 para datos sensibles en base de datos y storage.
- Cifrado local en móvil: SQLCipher (AES-256-CBC) para la base de datos del conductor.
- Control de acceso: RBAC con 5 roles, JWT con expiración corta.
- Aislamiento multi-tenant: Row-Level Security en PostgreSQL.
- Autenticación reforzada: MFA TOTP para administradores; PIN + cédula para conductores.
- Integridad de registros: SHA-256 hash de cada inspección, audit trail inmutable.
- Retención controlada: soft delete + hard delete automatizado según categoría legal.
8. Transferencia Internacional de Datos
SPIV utiliza infraestructura de Amazon Web Services (AWS) en la región us-east-1 (Virginia, EE.UU.). La transferencia de datos a servidores fuera de Colombia se realiza conforme al Art. 26 de la Ley 1581/2012 y se respalda en las siguientes salvaguardas:
- Contrato de procesamiento (DPA): SPIV ha aceptado el "AWS GDPR Data Processing Addendum" que incorpora Cláusulas Contractuales Tipo adoptadas por la SIC mediante Circular Externa 5/2017.
- Certificaciones AWS: SOC 2 Tipo II, ISO 27001, ISO 27017, ISO 27018, PCI DSS.
- Cifrado AWS KMS para datos en reposo.
- Aislamiento multi-tenant: Row-Level Security impide que un tenant acceda a datos de otro.
9. Compartición con terceros
SPIV NO vende, alquila ni comparte datos personales con fines comerciales. Los datos se comparten únicamente con:
- Proveedores de infraestructura (AWS): almacenamiento de datos, cómputo, envío de correos transaccionales (Amazon SES). Vinculados por acuerdos de procesamiento de datos.
- Expo / Google Play: distribución de la app móvil. NO reciben datos personales de los conductores.
- Autoridades competentes: cuando exista requerimiento judicial o administrativo conforme a la ley.
10. Vigencia y Modificaciones
Esta política entra en vigencia desde su publicación y permanece vigente mientras SPIV opere. Cualquier modificación será comunicada a los titulares con anticipación. Cambios sustanciales que excedan las finalidades originalmente autorizadas requerirán nueva aceptación.
11. Autoridad de Control
La Superintendencia de Industria y Comercio (SIC) es la autoridad competente para la protección de datos personales en Colombia.
- Delegatura para la Protección de Datos Personales
- Carrera 13 No. 27-00, Bogotá D.C.
- https://www.sic.gov.co
- Línea gratuita: 018000-910165
Para consultas sobre esta política: protecciondedatos@spivapp.com
© 2026 SPIV S.A.S. · Bogotá, Colombia