Política de Privacidad y Protección de Datos | Summya
1. OBJETO Y ÁMBITO DE APLICACIÓN
Esta Política define cómo Summya de Colombia S.A.S y sus filiales o entidades relacionadas (“Summya”, “nosotros”) tratan datos personales y datos empresariales en el contexto de su operación como marketplace global de agentes de IA y flujos de automatización
Aplica a: usuarios registrados, compradores, vendedores, clientes finales de nuestros clientes, visitantes del sitio web, y cualquier persona cuyos datos se traten a través de la Plataforma, productos propios o de terceros, así como a tratamientos realizados mediante servicios internos de analítica, soporte y operaciones.
2. RESPONSABLE DEL TRATAMIENTO Y DELEGADO DE PROTECCIÓN DE DATOS
Summya de Colombia S.A.S, identificada con NIT 902.003.625‐9 y domicilio principal en Calle 83 #5‐57, Bogotá, Colombia, actúa como responsable del tratamiento de datos personales cuando determina finalidades y medios del tratamiento.
Para garantizar el cumplimiento de estándares internacionales (Ley 1581 de 2012, RGPD, LGPD, UK GDPR, CPRA, entre otros), Summya ha designado un Delegado de Protección de Datos (DPO):
El DPO actúa como punto de contacto para titulares, autoridades y terceros, coordina evaluaciones de impacto (DPIA/PIA), supervisa la implementación de esta Política y asesora sobre nuevos productos y funcionalidades.
3. MODELO HÍBRIDO DE RESPONSABILIDAD Y ROLES
Summya opera bajo un modelo híbrido de responsabilidad, alineado con sus Términos y Condiciones:
En Productos Propios (First‐Party), Summya actúa como Controlador de Datos frente a los datos del usuario y, cuando el producto procesa datos de clientes finales del comprador, como controlador y procesador según el caso.
En Productos de Terceros (Third‐Party), el Comprador es el Controlador de Datos; el Vendedor y Summya actúan como Procesadores conjuntos, limitando su actuación al cumplimiento de las instrucciones del Comprador y de los acuerdos de procesamiento aplicables.
Es obligatorio que las partes formalicen el Acuerdo de Procesamiento de Datos (DPA) pre‐aprobado y disponible en la Plataforma antes de iniciar cualquier tratamiento de datos personales de clientes finales, a efectos de distribuir obligaciones, garantías y responsabilidades conforme a las normativas vigentes.
4. GOBERNANZA DE DATOS Y TRANSPARENCIA ALGORÍTMICA EN IA
Summya mantiene un marco de gobernanza de datos e IA que incluye: registro de modelos, AI Fact Sheets, evaluación de sesgos, métricas de rendimiento, restricciones de uso y procedimientos de supervisión humana para decisiones automatizadas de alto impacto.
Las inferencias y resultados generados por agentes de IA se consideran datos personales cuando puedan identificar o perfilar a una persona, y quedan sujetos a los derechos ARCO/ARCO+ (acceso, rectificación, cancelación/supresión, oposición, portabilidad, limitación y otros derechos específicos). Se garantiza el principio de human‐in‐the‐loop para decisiones susceptibles de generar efectos legales o impacto significativo en los titulares.
Queda estrictamente prohibido utilizar datos de clientes finales para entrenar modelos propios o de terceros sin consentimiento explícito (opt‐in) informado y verificable; cualquier entrenamiento con datos de usuarios debe realizarse sobre datos anonimizados y con técnicas de protección avanzadas (p. ej. k‐anonimato, l‐diversidad, privacidad diferencial) cuando aplique.
Summya clasifica sus agentes de IA y flujos de automatización en tres niveles de riesgo (bajo, medio, alto), considerando el tipo de uso, la naturaleza de los datos tratados, la presencia de perfilado y decisiones automatizadas con efectos significativos, la escala del tratamiento y el contexto regulatorio del sector. Para cada nivel de riesgo se aplican controles de gobernanza diferenciados, incluyendo registro de producto, documentación técnica, AI Fact Sheets, evaluación de impacto en protección de datos (DPIA) cuando sea necesaria y requisitos de supervisión humana reforzada en los casos de alto riesgo. Ningún agente de IA que pueda considerarse de alto riesgo según las normativas aplicables (p. ej. RGPD y EU AI Act) será desplegado o listado en la Plataforma sin haber superado una revisión formal de privacidad y cumplimiento, dirigida por el DPO y los equipos responsables de cumplimiento, y sin contar con documentación suficiente para que Compradores y Vendedores puedan cumplir sus propias obligaciones regulatorias.
5. CATEGORÍAS DE DATOS Y FINALIDADES
Summya trata, entre otros, los siguientes tipos de datos:
Datos de registro y cuenta: nombre, correo, teléfono, país, sector, credenciales, rol (comprador, vendedor), información fiscal mínima para facturación.
Datos de uso de la Plataforma: productos vistos, tiempos de sesión, logs de interacción, configuración de agentes, preferencias, métricas de rendimiento.
Datos de pago: tokens de pago suministrados por pasarelas certificadas (Summya no almacena datos completos de tarjetas), información necesaria para conciliación y facturación.
Datos de clientes finales procesados por agentes de IA (nombre, email, teléfono, historial de compra, mensajes de atención, preferencias) cuando el Comprador utiliza la Plataforma para prestar servicios a sus propios clientes.
Las finalidades principales incluyen: prestación del servicio, gestión de cuentas, soporte técnico, seguridad de la Plataforma, cumplimiento legal y regulatorio, mejora continua de productos (sobre datos agregados o anonimizados), analítica de uso, moderación y prevención de fraude.
6. DERECHOS DE LOS TITULARES Y PROCEDIMIENTOS
Los titulares pueden ejercer, según su jurisdicción, los derechos de acceso, rectificación, cancelación/supresión, oposición, portabilidad, limitación del tratamiento, olvido y cualquier otro derecho reconocido por la normativa aplicable.
Summya dispone de canales específicos para solicitudes de derechos:
Formulario en /es/contacto?intent=privacy&topic=data_rights.
Los plazos de respuesta se ajustan a la regulación correspondiente (p. ej. 15 días hábiles bajo Ley 1581, 30 días bajo RGPD/LGPD), y se mantienen registros internos de las solicitudes y respuestas para efectos de auditoría y accountability.
7. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO
La Plataforma utiliza cookies y tecnologías similares clasificadas en: esenciales, analíticas, funcionales y publicitarias/personalización.
Summya ofrece un mecanismo granular de gestión y revocación de consentimiento para cookies no esenciales, visible y accesible desde la interfaz, en cumplimiento de prácticas de privacy‐by‐design y regulaciones aplicables (p. ej. RGPD/Directiva ePrivacy, CPRA).
8. TRANSFERENCIAS INTERNACIONALES Y MARCO GLOBAL
Summya realiza transferencias internacionales de datos a proveedores cloud (p. ej. AWS, Google Cloud), pasarelas de pago (p. ej. Stripe, dLocal) y otros encargados ubicados en distintas jurisdicciones, siempre bajo contratos que aseguren un nivel de protección equivalente al exigido por las normas de origen del dato (Ley 1581, RGPD, LGPD, UK GDPR, CPRA, etc.).
Estas transferencias se protegen mediante medidas como:
Cláusulas Contractuales Tipo (SCCs) para la UE/EEE.
Acuerdos de procesamiento de datos (DPA) con encargados.
Evaluaciones de impacto de transferencias y, cuando sea necesario, medidas suplementarias técnicas y organizativas.
Summya no transferirá datos personales a jurisdicciones consideradas sin nivel adecuado de protección, salvo que exista consentimiento explícito del titular o que la normativa aplicable prevea una excepción específica para la transferencia, debidamente documentada.
9. SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE INCIDENTES
Summya aplica medidas técnicas y organizativas de seguridad apropiadas al riesgo, incluyendo cifrado en tránsito y en reposo, controles de acceso basados en roles (RBAC), autenticación multifactor en accesos administrativos, monitoreo continuo, pruebas de seguridad y programas de formación periódica en protección de datos.
Ante cualquier incidente de seguridad que pueda generar riesgo para los derechos y libertades de los titulares, Summya ejecutará un protocolo de respuesta estructurado (detección, contención, evaluación, notificación, remediación y prevención), notificando a autoridades competentes y usuarios afectados en un plazo máximo de 72 horas desde la detección, cuando así lo exija la normativa aplicable (p. ej. RGPD, Ley 1581, LGPD).
10. RETENCIÓN DE DATOS
Summya retiene datos personales solo durante el tiempo necesario para cumplir las finalidades para las cuales fueron recolectados, cumplir obligaciones legales y contractuales, o proteger intereses legítimos debidamente ponderados, de acuerdo con la normativa.
Los plazos de retención se gestionan mediante tablas internas, que pueden incluir, a modo de ejemplo:
Datos de registro y cuenta: vigencia de la relación y hasta 5 años posteriores para cumplimiento legal y defensa de reclamaciones.
Datos de facturación: periodos exigidos por legislación fiscal aplicable.
Logs de interacción de IA: 6 meses o anonimización, salvo que sea necesario un plazo mayor para seguridad o auditoría, en cuyo caso se documentarán las razones.
Datos de clientes finales: según instrucciones del Controlador (Comprador), con capacidad de exportación y supresión conforme al DPA y al marco legal.
11. MENORES DE EDAD
La Plataforma Summya está dirigida exclusivamente a usuarios mayores de 18 años (o edad mínima equivalente según la jurisdicción).
Summya no recolecta ni trata intencionalmente datos de menores de edad. Si se detecta el procesamiento involuntario de datos de un menor, se procederá a la eliminación inmediata y definitiva de dicha información y se revisarán los controles existentes para evitar recurrencias.
12. ACTUALIZACIONES DE LA POLÍTICA Y NOTIFICACIONES
Summya podrá modificar esta Política para reflejar cambios regulatorios, tecnológicos u organizativos.
Toda modificación significativa será comunicada con un aviso previo razonable (p. ej. 15–30 días) a través de los canales habituales (correo electrónico, avisos en la Plataforma). El uso continuado de la Plataforma tras la entrada en vigor de la nueva versión implica la aceptación de la Política actualizada, sin perjuicio de los derechos irrenunciables del titular bajo la legislación aplicable.
La versión vigente y las anteriores se conservarán en un registro de versiones accesible, indicando número de versión y fecha de entrada en vigor.
13. CONTACTO Y RECLAMACIONES
Para ejercer derechos, plantear consultas o presentar reclamaciones en materia de protección de datos, los titulares pueden contactar:
Los titulares también conservan el derecho de acudir a la autoridad de control competente (p. ej. SIC en Colombia, autoridades de protección de datos en la UE, ANPD en Brasil, etc.), según su país de residencia y normativa aplicable.