Esta política aplica a los datos de asesores de seguros, administradores de agencias y asegurados (clientes finales) cuyos datos son ingresados a InsurSuite por los asesores. Si eres un asegurado y tienes preguntas sobre tus datos, contacta primero a tu asesor; si no obtienes respuesta en 10 días, escríbenos directamente a privacidad@insursuite.com.
Responsable del tratamiento
- Nombre / Razón social
- CAOPDECODE
- NIT / Identificación
- 1007120315
- Domicilio principal
- Cartagena de Indias, Bolívar, Colombia
- Correo de datos
- privacidad@insursuite.com
- Correo de soporte
- soporte@insursuite.com
- Responsable delegado
- Camilo Andrés Osorio Páez
Encargados del tratamiento
CAOPDECODE ha contratado los siguientes proveedores como encargados del tratamiento. Todos cuentan con sus propias políticas de privacidad y están sujetos a acuerdos de confidencialidad y tratamiento de datos:
Supabase Inc.
Rol: Base de datos relacional (PostgreSQL)
Datos tratados: Todos los datos de la plataforma: usuarios, clientes, pólizas, documentos, logs.
País: Estados Unidos (AWS us-east-1 por defecto)
Política: supabase.com/privacy
Cloudflare Inc. (R2)
Rol: Almacenamiento de archivos
Datos tratados: Archivos de pólizas y documentos adjuntos.
País: Estados Unidos / ubicación configurable
Política: cloudflare.com/privacypolicy
Wompi (Bancolombia S.A.)
Rol: Procesamiento de pagos
Datos tratados: Referencia de transacción, email del pagador, valor del plan. NO se almacenan datos de tarjeta.
País: Colombia
Política: wompi.com
n8n (Workflow Automation)
Rol: Envío de notificaciones y correos electrónicos
Datos tratados: Dirección de correo del destinatario, nombre, contenido de la notificación.
País: Servidor propio configurable (self-hosted)
Política: n8n.io/legal
Google LLC (Analytics)
Rol: Análisis de uso de la plataforma
Datos tratados: IP anonimizada, páginas visitadas, tiempo de sesión. No se vinculan con datos de pólizas.
País: Estados Unidos
Política: policies.google.com/privacy
Datos personales tratados
Categoría 1: Asesores y administradores
- Datos de identificación: nombre completo, correo electrónico.
- Datos de autenticación: contraseña (hash bcrypt, nunca en texto plano).
- Datos de la agencia: nombre comercial, identificador único (slug).
- Datos de uso: fecha/hora de inicio de sesión, acciones sobre pólizas, IP de acceso.
- Datos de facturación: referencias de transacciones (no datos bancarios directos).
Categoría 2: Asegurados (clientes finales)
- Datos de identificación: nombre completo, tipo y número de documento.
- Datos de contacto: correo electrónico, teléfono, dirección.
- Datos de pólizas: número de póliza, aseguradora, ramo, vigencia, estado.
- Documentos: archivos PDF e imágenes de pólizas y documentos relacionados.
- Acceso al portal: correo electrónico, contraseña del portal (hash bcrypt), historial de acceso.
InsurSuite no trata datos sensibles según el artículo 5 de la Ley 1581 (datos de salud, origen étnico, orientación sexual, datos biométricos, filiación política o sindical). Si un asesor llegara a ingresar este tipo de información, deberá obtener autorización expresa y reforzada del titular.
Finalidades del tratamiento
Los datos personales se tratan para las siguientes finalidades:
Prestación del servicio
Crear y gestionar cuentas, pólizas, alertas de renovación y el Portal del Asegurado.
Autenticación y control de acceso
Verificar la identidad de los usuarios y controlar el acceso a los datos de cada agencia.
Comunicaciones del servicio
Enviar alertas de vencimiento de pólizas, credenciales del portal, notificaciones de facturación y avisos de cambios en el servicio.
Cumplimiento legal
Atender requerimientos de la SIC, la DIAN u otras autoridades competentes.
Seguridad y auditoría
Detectar accesos no autorizados y mantener registros de auditoría de descarga de documentos.
Mejora del producto (datos agregados y anónimos)
Analizar patrones de uso generales para mejorar la plataforma.
Autorización del titular
De acuerdo con el artículo 9 de la Ley 1581 de 2012, el tratamiento de datos personales requiere autorización previa, expresa e informada del titular.
Para asesores:
La autorización se otorga al momento del registro en InsurSuite, cuando el asesor acepta estos Términos y la presente Política de Tratamiento de Datos. Este acto queda registrado con fecha, hora e IP de aceptación.
Para asegurados:
Los asegurados cuyos datos son ingresados por el asesor deben contar con la autorización del titular. Es responsabilidad del asesor obtener y conservar dicha autorización conforme al artículo 9 de la Ley 1581 de 2012. Cuando el asegurado activa su Portal del Asegurado y acepta las condiciones de acceso, otorga autorización directa para el tratamiento de sus datos.
El asesor puede revocar su autorización en cualquier momento escribiendo a privacidad@insursuite.com. La revocación puede implicar la terminación del servicio.
Derechos de los titulares
Los titulares de datos personales tienen los siguientes derechos conforme a los artículos 8 y 21 de la Ley 1581 de 2012:
- Conocer, actualizar y rectificar sus datos personales frente a los responsables o encargados del tratamiento.
- Solicitar prueba de la autorización otorgada al responsable del tratamiento.
- Ser informado sobre el uso que se ha dado a sus datos personales, previa solicitud.
- Revocar la autorización y/o solicitar la supresión de los datos cuando no se respeten los principios, derechos y garantías constitucionales y legales.
- Acceder gratuitamente a sus datos personales que hayan sido objeto de tratamiento.
Procedimiento para ejercer derechos
Para ejercer cualquiera de los derechos mencionados, el titular debe:
- Enviar un correo a privacidad@insursuite.com con asunto “[DERECHO] — Solicitud de [tipo de derecho]”.
- Incluir: nombre completo, número de identificación, descripción clara de la solicitud y, si aplica, documentos de respaldo.
- CAOPDECODE acusará recibo de la solicitud dentro de los 2 días hábiles siguientes.
- Se dará respuesta en un plazo máximo de:
- Consultas: 10 días hábiles (prorrogables 5 días más con aviso).
- Reclamos: 15 días hábiles (prorrogables 8 días más con aviso).
Si no obtienes respuesta en los plazos anteriores, tienes derecho a presentar una queja ante la Superintendencia de Industria y Comercio (SIC): www.sic.gov.co, línea gratuita 01 8000 910 165.
Medidas de seguridad
CAOPDECODE implementa las siguientes medidas técnicas, humanas y administrativas para proteger los datos personales contra acceso no autorizado, pérdida, alteración o destrucción:
Cifrado en tránsito
TLS 1.3 en todas las conexiones. Sin excepciones.
Cifrado en reposo
Datos en Supabase con cifrado AES-256 a nivel de disco.
Autenticación
JWT con expiración de 15 min + refresh tokens seguros.
Contraseñas
Almacenadas con hash bcrypt, factor de coste 12.
Aislamiento multi-tenant
Row Level Security en PostgreSQL. Cada agencia solo ve sus datos.
Documentos
URLs firmadas con expiración de 15 min. Las keys de R2 nunca se exponen.
Auditoría
Log de cada descarga de documento: quién, cuándo, IP.
Backups
Copias diarias cifradas con retención de 30 días.
En caso de incidente de seguridad que afecte datos personales, CAOPDECODE notificará a los titulares y a la SIC dentro de los 5 días hábiles siguientes al conocimiento del hecho, conforme a los lineamientos de la SIC.
Transferencias y transmisiones
CAOPDECODE realiza transmisiones de datos a los encargados descritos en la sección 2 bajo acuerdos de tratamiento de datos. Las transferencias internacionales (a Estados Unidos principalmente) se realizan con fundamento en:
- Acuerdos de transmisión de datos que imponen obligaciones equivalentes a las de la ley colombiana.
- Las políticas de privacidad de los encargados, que cumplen con marcos internacionales (GDPR, CCPA, SOC 2).
No realizamos transferencias a terceros con fines comerciales propios de esos terceros. No vendemos datos personales.
Vigencia
Esta Política de Tratamiento de Datos Personales entra en vigencia a partir del 1 de julio de 2026 y tendrá validez indefinida hasta que sea modificada o derogada.
CAOPDECODE se reserva el derecho de modificar esta Política con previo aviso de 15 días por correo electrónico a los titulares de datos afectados. La versión vigente siempre estará disponible en insursuite.com/data-treatment.
Versión 1.0 — Junio de 2026. Elaborada conforme a: Ley 1581 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Decreto 1074 de 2015, Circular Única de la SIC Título V.
¿Tienes dudas sobre este documento?
Puedes escribirnos directamente o consultar nuestros otros documentos legales.