POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

La presente Política de Tratamiento de Datos Personales es de obligatorio cumplimiento para SEVEN MINDS SAS y aplica a todos los datos personales que la compañía trate en desarrollo de su objeto social como proveedor de plataforma SaaS, con independencia del país donde se encuentre el titular de los datos o el cliente. Su redacción está basada en el estándar del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que por ser el más exigente del mundo, garantiza el cumplimiento simultáneo de las legislaciones aplicables en Colombia (Ley 1581/2012), México (LFPDPPP 2025), Brasil (LGPD), Chile (Ley 21.719), Perú (Ley 29733) y Argentina (Ley 25.326), así como de las principales leyes estatales de los Estados Unidos de América (incluyendo la CCPA/CPRA de California) y demás legislaciones aplicables en Ecuador, República Dominicana, Uruguay, Costa Rica, Panamá, Paraguay, Guatemala, Honduras, El Salvador, Bolivia y Venezuela.

1. IDENTIFICACIÓN DEL RESPONSABLE Y OFICIAL DE PRIVACIDAD

SEVEN MINDS SAS, identificada con NIT 900.171.135-3, con domicilio en Colombia, es la empresa responsable del tratamiento de los datos personales recopilados a través de sus canales digitales, sitio web y plataforma tecnológica.

El Oficial de Privacidad y Protección de Datos Personales, designado mediante Resolución Interna RI-PDP-001-2026, es:

“Nombre: ” Alberto Londoño Martínez
“Cargo: ” Representante Legal y Oficial de Privacidad
“Empresa: ” Seven Minds SAS
“Correo Electrónico: ” [email protected]
“Sitio Web: ” www.sevenminds.com

Para ejercer sus derechos como titular de datos personales o para presentar consultas, reclamos o solicitudes relacionadas con el tratamiento de sus datos, puede comunicarse directamente con el Oficial de Privacidad a través del correo electrónico indicado.

2. MARCO NORMATIVO APLICABLE

La presente Política se rige por las siguientes normas, según el país donde se encuentre el titular de los datos o el cliente de Seven Minds SAS:

● Ley 1581 de 2012 — Régimen General de Protección de Datos Personales en Colombia.
● Decreto 1377 de 2013 — Reglamentario de la Ley 1581 de 2012 (compilado en el Decreto 1074 de 2015).
● Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
● Circular Externa N° 001 de 2025 de la Superintendencia de Industria y Comercio.
● Ley 1266 de 2008 — Hábeas Data Financiero (Colombia).
● Reglamento (UE) 2016/679 — GDPR (Reglamento General de Protección de Datos de la Unión Europea) — Aplicable a clientes y titulares ubicados en la Unión Europea y el Espacio Económico Europeo.
● Lei N° 13.709/2018 — LGPD (Lei Geral de Proteção de Dados) de Brasil — Aplicable a titulares ubicados en Brasil.
● Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP 2025) de México — Aplicable a titulares ubicados en México.
● Ley 21.719 de Chile — Aplicable a titulares ubicados en Chile. Entra en plena vigencia el 1 de diciembre de 2026.
● Ley N° 29.733 y su nuevo Reglamento (DS 016-2024-JUS) de Perú — Aplicable a titulares ubicados en Perú. Vigente desde marzo 2025.
● Ley N° 25.326 de Argentina — Aplicable a titulares ubicados en Argentina.
● California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) — Aplicable cuando el titular de los datos es residente del estado de California, EE.UU. Nuevas regulaciones en vigor desde enero de 2026 que incluyen auditorías de ciberseguridad y evaluaciones de riesgo.
● Leyes estatales adicionales de EE.UU. — Al menos 20 estados de EE.UU. cuentan con leyes propias de protección de datos personales. Seven Minds SAS cumple con los requisitos comunes de estas leyes a través del estándar GDPR adoptado en esta Política, que es más exigente que la mayoría de legislaciones estatales estadounidenses.
● Federal Trade Commission Act (FTC Act) — La Comisión Federal de Comercio (FTC) de EE.UU. tiene jurisdicción amplia sobre prácticas comerciales desleales o engañosas, incluyendo el manejo inadecuado de datos personales.
● Ley Orgánica de Protección de Datos Personales de Ecuador (2021) y su Reglamento General (2023) — Aplicable a titulares ubicados en Ecuador.
● Ley Orgánica 172-13 de República Dominicana — Aplicable a titulares ubicados en República Dominicana.
● Ley 18.331 de Uruguay (2008) — Una de las legislaciones más maduras de la región. Aplicable a titulares ubicados en Uruguay.
● Ley 8968 de Costa Rica — Aplicable a titulares ubicados en Costa Rica.
● Ley 81 de 2019 de Panamá — Aplicable a titulares ubicados en Panamá.
● Guatemala, Honduras, El Salvador, Bolivia, Paraguay y Venezuela — Estos países no cuentan aún con una ley específica y completa de protección de datos personales. Sin embargo, sus constituciones nacionales establecen el derecho de habeas data y la protección de la privacidad. Para los titulares ubicados en estos países, Seven Minds SAS aplica el estándar GDPR como máximo referente internacional, que garantiza un nivel de protección superior a cualquier disposición constitucional o sectorial vigente en dichos territorios.
• Ley 1273 de 2009 — Delitos Informáticos.

3. DEFINICIONES

“Dato personal: ” Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

“Dato sensible: ” Dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, tales como datos de salud, orientación sexual, origen racial, convicciones políticas o religiosas.
“Titular: ” Persona natural cuyos datos personales son objeto de tratamiento.
“Responsable del tratamiento: ” Persona natural o jurídica que decide sobre la base de datos y el tratamiento de los datos. En el contexto de la plataforma SaaS, es el Cliente de Seven Minds SAS.
“Encargado del tratamiento: ” Persona natural o jurídica que realiza el tratamiento de datos por cuenta del Responsable. Seven Minds SAS actúa en esta calidad respecto de los datos de sus clientes.
“Tratamiento: ” Cualquier operación sobre datos personales, incluyendo recolección, almacenamiento, uso, circulación o supresión.
“Autorización: ” Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento.
“Aviso de privacidad: ” Comunicación verbal o escrita al titular sobre la existencia de la política de tratamiento.
“SIC: ” Superintendencia de Industria y Comercio, autoridad de control y vigilancia en materia de protección de datos personales en Colombia.

4. ROL DE SEVEN MINDS SAS EN EL TRATAMIENTO DE DATOS

Seven Minds SAS opera una plataforma SaaS para la captura y gestión de datos en campo. En el desarrollo de esta actividad, la compañía puede actuar en dos calidades distintas:

“4.1 Como Encargado del Tratamiento — Rol principal y permanente”

Este es el rol principal, permanente y característico de Seven Minds SAS. Respecto de todos los datos personales que sus clientes almacenan y tratan a través de la plataforma, Seven Minds SAS actúa única y exclusivamente como Encargado del Tratamiento, conforme al literal d) del artículo 3° de la Ley 1581 de 2012. En esta calidad, Seven Minds SAS trata los datos por cuenta e instrucción de sus clientes como Responsables del Tratamiento, sin determinar en ningún momento los fines ni los medios del tratamiento. Seven Minds SAS no tiene relación jurídica directa con los titulares de los datos almacenados en la plataforma, pues esa relación corresponde exclusivamente al cliente como Responsable.

La plataforma opera con campos de almacenamiento genéricos — texto, numérico, fecha, hora, imagen, entre otros — sin denominación predefinida. Son los clientes quienes definen qué información capturar, con qué denominación y para qué finalidad. Seven Minds SAS no accede al contenido semántico de los datos ni los utiliza para fines propios.

4.2 Como Responsable del Tratamiento — Únicamente para datos operativos propios

De forma excepcional y en un ámbito muy reducido, Seven Minds SAS actúa como Responsable del Tratamiento únicamente respecto de los datos personales que recopila directamente para sus propios fines operativos y comerciales, conforme al literal e) del artículo 3° de la Ley 1581 de 2012. Este rol se limita estrictamente a los datos de sus propios contactos comerciales y prospectos que solicitan información o demos, los datos de sus empleados y contratistas en el marco de la relación laboral, y los datos de navegación de usuarios del sitio web www.sevenminds.com. Este rol no aplica en ningún caso a los datos personales almacenados por los clientes de Seven Minds SAS en la plataforma SaaS, respecto de los cuales Seven Minds SAS es siempre y exclusivamente Encargado del Tratamiento.

5. DATOS PERSONALES QUE TRATA SEVEN MINDS SAS COMO RESPONSABLE

En su calidad de Responsable del Tratamiento, Seven Minds SAS puede tratar los siguientes tipos de datos personales de sus contactos comerciales, prospectos y usuarios del sitio web:

• Datos de identificación: nombre, apellidos, número de documento de identidad.
• Datos de contacto: correo electrónico, teléfono, ciudad.
• Datos laborales: empresa, cargo, área.
• Datos de navegación: dirección IP, tipo de navegador, páginas visitadas en el sitio web (mediante cookies).
• Información proporcionada voluntariamente a través de formularios de contacto o solicitudes de demo.

6. FINALIDADES DEL TRATAMIENTO

Los datos personales tratados por Seven Minds SAS como Responsable serán utilizados para las siguientes finalidades:

• Atender solicitudes de información, demos y cotizaciones de la plataforma.
• Gestionar la relación comercial con clientes y prospectos.
• Enviar comunicaciones sobre actualizaciones, nuevas funcionalidades y noticias de la plataforma, con posibilidad de cancelar la suscripción en cualquier momento.
• Mejorar la experiencia de navegación en el sitio web mediante el análisis de datos agrupados y anónimos.
• Cumplir con obligaciones legales y regulatorias aplicables.
• Gestionar el proceso de vinculación y relación laboral con empleados y contratistas.

7. DERECHOS DE LOS TITULARES

De conformidad con el artículo 8° de la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos:

“Conocer: ” Conocer los datos personales que están siendo tratados por Seven Minds SAS.
“Actualizar: ” Solicitar la actualización de sus datos personales cuando sean inexactos o incompletos.
“Rectificar ” Solicitar la corrección de datos que resulten inexactos, incompletos, fraccionados o que induzcan a error.
“Suprimir: ” Solicitar la eliminación de sus datos personales cuando no se requieran para los fines del tratamiento, se haya revocado la autorización o se hayan incumplido los deberes legales.
“Revocar: ” Revocar la autorización otorgada para el tratamiento de sus datos personales en cualquier momento, siempre que no exista un deber legal o contractual que lo impida.
“Acceder: ” Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
“Quejar: ” Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la Ley 1581 de 2012, una vez agotado el trámite de consulta o reclamo ante Seven Minds SAS.
“Abstener: ” No ser objeto de decisiones automatizadas que le generen efectos jurídicos adversos.

Para ejercer cualquiera de estos derechos, el titular puede enviar su solicitud al correo electrónico del Oficial de Privacidad: [email protected], indicando su nombre completo, número de documento, el derecho que desea ejercer y una descripción de su solicitud. Seven Minds SAS dará respuesta dentro de los plazos establecidos en la legislación aplicable según el país del titular: 15 días hábiles bajo la Ley 1581 de 2012 (Colombia); 30 días bajo el GDPR (Unión Europea); 20 días bajo la LFPDPPP (México); 15 días bajo la LGPD (Brasil). Para titulares ubicados en la Unión Europea, Seven Minds SAS reconoce adicionalmente el derecho a la portabilidad de los datos y el derecho a no ser objeto de decisiones automatizadas con efectos jurídicos, conforme al GDPR.

Para titulares residentes en California (EE.UU.), Seven Minds SAS reconoce los derechos establecidos en la CCPA/CPRA: derecho a saber qué datos personales se recopilan, derecho a eliminar, derecho a corregir, derecho a opt-out de la venta de datos y derecho a no ser discriminado por ejercer estos derechos. El plazo de respuesta bajo la CCPA/CPRA es de 45 días calendario, prorrogables por otros 45 días adicionales en casos complejos.

8. MEDIDAS DE SEGURIDAD

Seven Minds SAS implementa medidas de seguridad técnica, tecnológica, humana y administrativa razonables y proporcionales para proteger los datos personales contra accesos no autorizados, pérdida, alteración o divulgación indebida. Estas medidas incluyen, entre otras:

• Cifrado de comunicaciones mediante protocolo HTTPS con TLS.
• Firewall físico Cisco Firepower 1120 en configuración High Availability.
• Servidor dedicado administrado por Rackspace Inc., certificado bajo ISO/IEC 27001 y SOC 2 Tipo II.
• Autenticación de doble factor (2FA) para todos los usuarios con acceso web.
• Control de acceso basado en roles con perfiles diferenciados.
• Auditorías periódicas de seguridad y monitoreo continuo.
• Capacitación del equipo en protección de datos personales.

9. INCIDENTES DE SEGURIDAD

En caso de que Seven Minds SAS tenga conocimiento de un incidente de seguridad que afecte datos personales, procederá a:

• Notificar al cliente afectado de forma oportuna, dentro de los plazos que permitan el cumplimiento de sus obligaciones legales.
• Reportar el incidente ante la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes a su detección, conforme al artículo 17 literal k) de la Ley 1581 de 2012.
• Adelantar las investigaciones necesarias para determinar el alcance del incidente.
• Implementar las medidas correctivas necesarias para contener y mitigar el incidente.

10. SUBENCARGADOS DEL TRATAMIENTO

Para la adecuada prestación de sus servicios, Seven Minds SAS utiliza los siguientes subencargados del tratamiento que pueden tener acceso a datos personales almacenados en la plataforma:

“Rackspace Inc.”
Servicio de Hosting, infraestructura de servidores y servicios de seguridad gestionada, cuenta con certificaciones ISO/IEC 27001, ISO 9001 y SOC 2 Tipo II

“Google Workspace”
Servicio de correo electrónico corporativo y herramientas de colaboración, cuenta con certificaciones ISO/IEC 27001 y SOC 2

11. TRANSFERENCIAS Y TRANSMISIONES INTERNACIONALES

Los datos personales tratados en la plataforma de Seven Minds SAS pueden ser transferidos, almacenados y procesados en los Estados Unidos de América, en virtud de los servicios de infraestructura contratados con Rackspace Inc. Esta transferencia internacional se realiza bajo las siguientes garantías, según el origen del titular de los datos: Para titulares ubicados en la Unión Europea (GDPR): La transferencia se ampara en Cláusulas Contractuales Tipo (Standard Contractual Clauses — SCCs) aprobadas por la Comisión Europea, o en el nivel de protección adecuado certificado por las autoridades competentes. Seven Minds SAS suscribirá un Acuerdo de Procesamiento de Datos (Data Processing Agreement — DPA) con los clientes europeos que lo requieran. Para titulares ubicados en Latinoamérica: La transferencia se realiza bajo las garantías y medidas de seguridad descritas en la sección 8 de la presente Política, y conforme a los acuerdos suscritos con Rackspace Inc. que garantizan niveles de protección equivalentes a los exigidos por cada legislación nacional aplicable.

Para titulares ubicados en Estados Unidos: La infraestructura de Rackspace Inc. está ubicada en territorio estadounidense, por lo que los datos son procesados localmente. Seven Minds SAS cumple con los requisitos de la CCPA/CPRA de California y demás leyes estatales aplicables a través del estándar GDPR adoptado en esta Política. Los titulares residentes en California tienen adicionalmente los derechos de opt-out de venta de datos, corrección y portabilidad establecidos en la CPRA.

12. RETENCIÓN Y ELIMINACIÓN DE DATOS

Seven Minds SAS conservará los datos personales durante el tiempo necesario para cumplir con las finalidades del tratamiento descritas en esta Política y mientras exista una relación contractual vigente. Una vez terminada dicha relación, los datos serán conservados durante los plazos adicionales exigidos por la ley y posteriormente eliminados de forma segura.

Respecto de los datos de clientes almacenados en la plataforma, Seven Minds SAS los pondrá a disposición del cliente para su retiro durante los treinta (30) días calendario siguientes a la terminación del contrato. Vencido este plazo, procederá a su eliminación segura.

13. VIGENCIA Y ACTUALIZACIÓN

La presente Política rige a partir de “Mayo de 2026” y reemplaza en su totalidad la versión anterior publicada en el sitio web de Seven Minds SAS. Seven Minds SAS se reserva el derecho de actualizar esta Política cuando sea necesario para reflejar cambios en sus prácticas de tratamiento, cambios normativos o mejoras en sus medidas de seguridad. Cualquier modificación será publicada en el sitio web www.sevenminds.com con la fecha de actualización correspondiente.

14. QUEJAS ANTE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Si considera que Seven Minds SAS ha vulnerado sus derechos como titular de datos personales y no ha obtenido respuesta satisfactoria a su reclamo, puede presentar una queja ante la Superintendencia de Industria y Comercio (SIC) a través de los siguientes canales:

• Sitio web: www.sic.gov.co
• Línea gratuita nacional: 018000 910 165
• Bogotá: 601 592 04 00
• Dirección: Calle 24 No. 7-43, Bogotá D.C.

“REQUISITO PREVIO:” Antes de presentar una queja ante la SIC, el titular debe haber agotado el trámite de consulta o reclamo ante Seven Minds SAS, de conformidad con el artículo 16 de la Ley 1581 de 2012.