Política de Tratamiento de Datos Personales

Eranpay — Eran Technologies S.A.S. · NIT {NIT} · Versión 1.0 · Vigente desde {FECHA_VIGENCIA}

1. Identificación del responsable del tratamiento

Eran Technologies S.A.S., sociedad constituida bajo las leyes de la República de Colombia, identificada con NIT {NIT}, con domicilio principal en {DIRECCIÓN_LEGAL}, Bogotá D.C., Colombia, actúa como responsable del tratamiento de los datos personales recopilados a través de la aplicación móvil y portal web "Eranpay" (la "Plataforma"). Para asuntos relacionados con esta política y el ejercicio de derechos como titular de datos personales, puedes contactarnos en:

• Correo: privacidad@eranpay.com
• Teléfono: {TELEFONO}
• Dirección: {DIRECCIÓN_LEGAL}, Bogotá D.C., Colombia

2. Marco legal aplicable

Esta política da cumplimiento a:

• Constitución Política de Colombia (Artículo 15 — derecho al habeas data).
• Ley Estatutaria 1581 de 2012 y su decreto reglamentario 1377 de 2013 sobre Protección de Datos Personales.
• Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio.
• Circular Externa 100-000016 de 2020 de la Superintendencia de Sociedades (SAGRILAFT) — aplicable porque Eranpay opera como corresponsal digital del Banco Cooperativo Coopcentral en operaciones de bajo monto.
• Circulares de la Superintendencia Financiera de Colombia aplicables a corresponsales digitales.

3. Datos personales que recolectamos

3.1. Datos de identificación

• Nombres y apellidos.
• Tipo y número de documento de identidad (cédula de ciudadanía, cédula de extranjería, tarjeta de identidad, pasaporte, PPT).
• Fecha y lugar de nacimiento, sexo, nacionalidad.
• Foto del documento de identidad (anverso y reverso) capturada durante la verificación KYC.
• Selfie y prueba de vida facial (datos biométricos), capturados por nuestro proveedor KYC ADO Tech (b-trust).

3.2. Datos de contacto

• Correo electrónico.
• Número de teléfono celular (verificado mediante OTP).
• Dirección de domicilio (en formato DIAN: tipo de vía, números, complemento, ciudad, departamento).

3.3. Datos financieros y de cumplimiento

• Ingresos y egresos mensuales declarados.
• Total de activos y pasivos declarados.
• Actividad económica principal (código CIIU), ocupación, profesión.
• Información tributaria (responsable de IVA, régimen tributario).
• Declaraciones FATCA (residencia fiscal en EE. UU.) y CRS (residencia fiscal en otra jurisdicción).
• Declaración de Persona Expuesta Políticamente (PEP), familiar de PEP o asociado a PEP.
• Documentos de soporte (certificados laborales, desprendibles de nómina, declaraciones de renta, estados financieros, RUT).
• Historial de transacciones en la cuenta corresponsalía Coopcentral asociada al usuario.

3.4. Datos técnicos

• Identificadores del dispositivo (modelo, sistema operativo, idioma).
• Dirección IP, geolocalización aproximada (a nivel de país/ciudad).
• Logs de acceso, errores y uso de la aplicación para fines de seguridad y soporte.
• Push tokens (Firebase Cloud Messaging y Apple Push Notification Service) para envío de notificaciones.

4. Finalidades del tratamiento

Tus datos personales son tratados con las siguientes finalidades:

• Verificar tu identidad mediante el proceso KYC mandatorio para abrir una cuenta de corresponsalía digital con Coopcentral, conforme exige la Superintendencia Financiera y los reglamentos de la entidad bancaria.
• Cumplir las obligaciones derivadas del régimen SAGRILAFT (prevención de lavado de activos y financiación del terrorismo y proliferación de armas de destrucción masiva).
• Validar tu información contra listas restrictivas (OFAC, ONU, listas locales) y contra el sistema ANI de la Registraduría Nacional del Estado Civil de Colombia.
• Procesar transacciones bancarias (depósitos, dispersiones, recaudos) a través de la cuenta de corresponsalía abierta a tu nombre en Coopcentral.
• Reportar a la Unidad de Información y Análisis Financiero (UIAF) las operaciones que correspondan de acuerdo con la regulación.
• Prestar servicios complementarios de la plataforma: tarjeta digital, recargas, ecommerce, eventos, viajes.
• Enviar notificaciones operativas (OTP, alertas de transacción, cambios de estado del enrollment).
• Atender solicitudes de soporte y reclamaciones a través de los canales de servicio al cliente.
• Ejercer y defender derechos legítimos de Eran Technologies S.A.S. en procesos judiciales o administrativos.

5. Encargados y terceros con quienes compartimos información

Para ejecutar las finalidades anteriores transmitimos o transferimos datos a:

• Banco Cooperativo Coopcentral — entidad bancaria emisora de la cuenta de corresponsalía. Recibe la totalidad de los datos KYC y de cumplimiento como exige la regulación bancaria.
• ADO Tech (b-trust / Scanovate) — proveedor del servicio de validación biométrica de identidad. Procesa la selfie, prueba de vida y captura del documento contra la base ANI Registraduría.
• Twilio — proveedor de envío de SMS y verificación OTP del número celular.
• Didit — proveedor alternativo de KYC (para flujos donde Coopcentral no es el banco corresponsal final).
• Amazon Web Services (AWS) — infraestructura cloud donde se aloja la base de datos, los archivos S3 (documentos subidos) y los servidores de aplicación. Datos almacenados en la región us-east-2 (Ohio, EE. UU.).
• Google y Apple — proveedores de inicio de sesión social (Google Sign-In, Apple Sign In) y envío de notificaciones push (FCM, APNs).
• Superintendencia de Sociedades, Superintendencia Financiera, UIAF, Registraduría Nacional — autoridades a las que se entrega información cuando la regulación lo exige o cuando media requerimiento formal.

6. Transferencias internacionales

Algunos de los encargados (AWS us-east-2, Twilio US, Apple US, Google US) procesan datos fuera de Colombia. Eran Technologies S.A.S. ha verificado que esos países cuentan con niveles adecuados de protección de datos o ha suscrito cláusulas contractuales tipo cuando corresponde.

7. Tiempo de retención

• Datos de identidad y KYC: durante la vigencia de la cuenta y hasta diez (10) años después del cierre, conforme exige el régimen SAGRILAFT.
• Historial de transacciones: diez (10) años conforme a obligaciones bancarias y tributarias.
• Logs técnicos y telemetría: un (1) año.
• Datos biométricos: el periodo mínimo necesario para validar la identidad y atender disputas; ADO Tech aplica sus propias políticas de retención conforme a su contrato con Eran Technologies.

8. Derechos del titular

Como titular de tus datos personales, en cualquier momento puedes ejercer los siguientes derechos:

• Conocer los datos personales que tratamos sobre ti.
• Actualizar o rectificar datos parciales, inexactos, incompletos o desactualizados.
• Solicitar prueba de la autorización otorgada para el tratamiento.
• Ser informado sobre el uso que se le ha dado a tus datos.
• Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la Ley 1581 de 2012.
• Revocar la autorización y/o solicitar la supresión del dato cuando no se respeten los principios, derechos y garantías legales.

Para ejercer estos derechos envía una solicitud a privacidad@eranpay.com indicando el derecho que deseas ejercer y aportando una copia de tu documento de identidad. Responderemos dentro de los plazos legales: diez (10) días hábiles para consultas y quince (15) días hábiles para reclamos, prorrogables conforme a la ley.

9. Medidas de seguridad

Implementamos medidas técnicas, humanas y administrativas razonables para proteger tus datos: encriptación AES-256 para datos en reposo, TLS 1.2+ para datos en tránsito, control de acceso basado en roles, registros de auditoría inmutables, validación periódica de listas restrictivas y cumplimiento del régimen SAGRILAFT.

10. Cambios en esta política

Podemos actualizar esta política cuando lo exijan cambios regulatorios o de operación. Las versiones actualizadas serán publicadas en eranpay.com/legal/privacy.html y notificadas a los usuarios activos a través de la aplicación.