Política de Privacidad
Última actualización: 29 de enero de 2026 Versión: 1.0
1. Responsable del Tratamiento
Cyclora (en adelante, “nosotros”, “nuestro” o “la Plataforma”) es el responsable del tratamiento de los datos personales recopilados a través de nuestra aplicación móvil y sitio web.
- Responsable: Cyclora
- Dirección de notificación judicial: Bogotá, Colombia
- Correo de contacto: privacy@cyclora.app
- Sitio web: https://www.cyclora.app
- Oficial de Protección de Datos: privacy@cyclora.app
Este documento constituye la Política de Tratamiento de Datos Personales (Manual de Políticas de Tratamiento) conforme al Artículo 4 de la Ley 1581 de 2012 y el Decreto 1377 de 2013. Para una versión resumida, consulta nuestro Aviso de Privacidad.
Marco Legal Aplicable
Esta política se rige por la siguiente normativa:
- Ley 1581 de 2012 — Régimen general de protección de datos personales (Habeas Data)
- Decreto 1377 de 2013 — Reglamentación parcial de la Ley 1581
- Decreto 1074 de 2015, Capítulo 26 — Registro Nacional de Bases de Datos (RNBD)
- Ley 1266 de 2008 — Habeas Data Financiero (para datos de facturación y crédito)
- Ley 1273 de 2009 — Protección de la información y datos informáticos
- Ley 527 de 1999 — Comercio electrónico y firmas digitales
- GDPR (UE) — Reglamento General de Protección de Datos
- CCPA/CPRA (California) — Ley de Privacidad del Consumidor
- LGPD (Brasil) — Lei Geral de Proteção de Dados
- LFPDPPP (México) — Ley Federal de Protección de Datos Personales
Registro Nacional de Bases de Datos (RNBD)
De conformidad con el Capítulo 26 del Decreto 1074 de 2015 y el Decreto 090 de 2018, Cyclora realizará la inscripción de sus bases de datos ante la Superintendencia de Industria y Comercio (SIC) cuando los activos totales superen el umbral de 100.000 UVT establecido por la norma.
2. Datos que Recopilamos
Recopilamos los siguientes datos personales para proporcionar nuestros servicios:
2.1 Datos de Registro y Cuenta
- Correo electrónico: Para autenticación y comunicaciones
- Nombre y apellido: Para personalizar tu perfil
- Contraseña: Almacenada de forma encriptada
2.2 Datos de Vehículos
- Fotos de bicicletas: Para identificación y gestión de tu inventario
- Historial de mantenimiento: Registros de servicios realizados
- Tarjetas de propiedad digitales: Documentos de verificación de propiedad
2.3 Datos de Autenticación de Terceros
Si eliges registrarte mediante servicios de terceros, recopilamos:
- Google OAuth: Nombre, email y foto de perfil
- Facebook Login: Nombre, email y foto de perfil
- Apple Sign In: Nombre y email
2.4 Datos Técnicos
- Dirección IP
- Tipo de dispositivo y navegador
- Sistema operativo
- Datos de uso de la aplicación
3. Uso de la Cámara
Nuestra aplicación solicita acceso a la cámara de tu dispositivo para:
- Fotografiar bicicletas: Subir imágenes de tus vehículos
- Escanear códigos QR: Verificar tarjetas de propiedad
- Documentar mantenimientos: Registrar el estado antes/después de servicios
Importante: Las fotos se almacenan de forma segura en nuestros servidores. No accedemos a otras fotos de tu galería sin tu consentimiento explícito.
4. Autorización para el Tratamiento de Datos
4.1 Requisitos de Autorización (Ley 1581, Art. 9)
De conformidad con la Ley 1581 de 2012, la autorización para el tratamiento de tus datos personales es:
- Previa: Se solicita antes de la recopilación de datos
- Expresa: Clara e inequívoca
- Informada: Conoces el tratamiento que se dará a tus datos
- Verificable: Podemos demostrar que la otorgaste
Al registrarte en Cyclora, otorgas tu autorización expresa e informada para el tratamiento de tus datos conforme a esta política. Conservamos evidencia de dicha autorización.
4.2 Datos Sensibles
Cyclora no recopila datos sensibles (origen racial o étnico, orientación política, convicciones religiosas, datos de salud, vida sexual, datos biométricos) de manera habitual. En caso de requerir este tipo de datos en el futuro:
- Te informaremos que no estás obligado a autorizar su tratamiento
- Indicaremos explícitamente cuáles datos son sensibles
- Informaremos la finalidad específica del tratamiento
4.3 Base Legal del Tratamiento
Procesamos tus datos personales bajo las siguientes bases legales:
- Consentimiento (Ley 1581, Art. 9): Al registrarte y aceptar esta política, otorgas autorización previa, expresa e informada
- Ejecución contractual: Para prestarte los servicios contratados según los Términos de Servicio
- Interés legítimo: Para mejorar nuestros servicios y prevenir fraudes. Específicamente:
- Detección de actividad fraudulenta en la plataforma
- Prevención de registro de bicicletas robadas
- Mejora de la seguridad de la plataforma
- Análisis agregados y anónimos de uso del servicio
- Obligación legal: Para cumplir con la Ley 1581 de 2012, la Ley 1266 de 2008 (datos financieros de facturación), obligaciones tributarias ante DIAN, y demás regulaciones aplicables
4.4 Datos Financieros y de Facturación (Ley 1266 de 2008)
Para los datos de facturación y pagos, también aplica la Ley 1266 de 2008 (Habeas Data Financiero). Estos datos incluyen información de transacciones, historial de pagos de suscripciones y datos de facturación electrónica. Son compartidos con MercadoPago (procesador de pagos) y conservados según las obligaciones tributarias ante DIAN.
5. Finalidad del Tratamiento
Utilizamos tus datos para:
- Crear y gestionar tu cuenta de usuario
- Proporcionar los servicios de la plataforma
- Procesar transacciones y facturación
- Enviar comunicaciones sobre el servicio
- Enviar comunicaciones de marketing (solo con tu consentimiento)
- Mejorar nuestros productos y servicios
- Prevenir fraudes y actividades no autorizadas
- Cumplir con obligaciones legales
6. Destinatarios de los Datos
Podemos compartir tus datos con:
6.1 Proveedores de Servicios
- Almacenamiento en la nube: AWS/Google Cloud
- Autenticación: Google, Facebook, Apple
- Pagos: MercadoPago (para facturación)
- Analytics: Google Analytics (datos anonimizados)
6.2 Autoridades
Cuando sea requerido por ley o para proteger nuestros derechos legales.
No vendemos tus datos personales a terceros.
7. Transferencias Internacionales
Tus datos pueden ser transferidos y almacenados en servidores ubicados fuera de Colombia. Para garantizar la protección de tus datos en estas transferencias, utilizamos los siguientes mecanismos:
- Cláusulas Contractuales Tipo (SCCs): Aprobadas por la Comisión Europea (Decisión 2021/914) para transferencias a países sin decisión de adecuación
- Data Privacy Framework (DPF): Para transferencias a EE.UU. donde el proveedor esté certificado bajo el marco UE-EE.UU.
- Decisiones de adecuación: Cuando la Comisión Europea haya determinado que el país de destino ofrece un nivel adecuado de protección
Países de destino
| País | Proveedor | Mecanismo de transferencia |
|---|---|---|
| Estados Unidos | AWS, Google, Expo | SCCs + DPF |
| Argentina | MercadoPago | Decisión de adecuación UE |
| Colombia | Servidores primarios Cyclora | País de origen |
Conformidad con Ley 1581 de 2012 (Art. 26)
La Ley 1581 de 2012 prohíbe la transferencia de datos personales a países que no proporcionen niveles adecuados de protección. De conformidad con la Circular Única de la SIC (Título V, Capítulo 3), los países de destino de nuestras transferencias (Estados Unidos, Argentina) se encuentran en la lista de países con niveles adecuados de protección reconocidos por la SIC.
En caso de que sea necesario transferir datos a un país no incluido en la lista, solicitaremos la Declaración de Conformidad correspondiente ante la SIC o aplicaremos las excepciones previstas en el Artículo 26 de la Ley 1581 (autorización expresa del titular, transferencias necesarias para la ejecución del contrato, entre otras).
Para más detalles, consulta nuestro Acuerdo de Procesamiento de Datos (DPA).
8. Período de Retención
Conservamos tus datos mientras tu cuenta esté activa. Tras la eliminación de tu cuenta:
- Datos de cuenta: Eliminados inmediatamente (soft delete) o permanentemente bajo solicitud
- Datos de facturación: Conservados por 5 años (obligación legal)
- Backups: Eliminados en un plazo máximo de 90 días
9. Tus Derechos por Región
9.1 Derechos Generales (Todos los Usuarios)
Independientemente de tu ubicación, tienes derecho a:
- Acceso: Solicitar una copia de tus datos personales
- Rectificación: Corregir datos inexactos o incompletos
- Supresión: Solicitar la eliminación de tus datos
- Oposición: Oponerte al tratamiento de tus datos
- Retirar consentimiento: En cualquier momento, sin afectar la licitud del tratamiento anterior
9.2 Unión Europea / EEE (GDPR)
Si resides en la UE o el Espacio Económico Europeo, tienes además:
- Portabilidad (Art. 20): Recibir tus datos en formato estructurado, de uso común y lectura mecánica
- Limitación del tratamiento (Art. 18): Restringir el procesamiento en determinadas circunstancias
- Oposición al profiling (Art. 21): Oponerte al tratamiento basado en intereses legítimos, incluyendo la elaboración de perfiles
- No estar sujeto a decisiones automatizadas (Art. 22): No ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos
Autoridad de control: Puedes presentar una reclamación ante tu autoridad de protección de datos local. Para usuarios en la UE, consulta la lista de autoridades.
Plazo de respuesta: 30 días (prorrogable 60 días adicionales para solicitudes complejas).
9.3 California, EE.UU. (CCPA/CPRA)
Si resides en California, tienes los siguientes derechos bajo la CCPA/CPRA:
- Derecho a saber: Qué datos personales recopilamos, usamos, compartimos o vendemos
- Derecho a eliminar: Solicitar la eliminación de tus datos personales
- Derecho a optar por no participar (opt-out): En la venta o el compartir de datos personales. Cyclora no vende datos personales
- Derecho a la no discriminación: No serás discriminado por ejercer tus derechos de privacidad
- Derecho a corregir: Corregir datos inexactos
- Derecho a limitar: Limitar el uso y divulgación de datos sensibles
Categorías de datos recopilados en los últimos 12 meses: Identificadores (nombre, email), información comercial (historial de compras), datos de actividad en Internet (uso de la app), y datos de geolocalización (cuando aplique).
No vendemos ni compartimos datos personales con fines de publicidad conductual entre contextos.
9.4 Brasil (LGPD)
Si resides en Brasil, tienes los siguientes derechos bajo la LGPD:
- Confirmación y acceso: Confirmar la existencia de tratamiento y acceder a tus datos
- Corrección: Corregir datos incompletos, inexactos o desactualizados
- Anonimización, bloqueo o eliminación: De datos tratados en exceso o de forma ilícita
- Portabilidad: A otro proveedor de servicios
- Eliminación: De datos tratados con consentimiento
- Información: Sobre las entidades con las que compartimos tus datos
- Revocación del consentimiento: En cualquier momento
Autoridad: ANPD (Autoridade Nacional de Proteção de Dados).
9.5 Colombia (Ley 1581 de 2012)
Si resides en Colombia, tienes los derechos ARCO:
- Acceso: Conocer, actualizar y rectificar tus datos personales
- Rectificación: Actualizar datos parciales, inexactos, incompletos o fraccionados
- Cancelación: Solicitar la supresión de datos cuando no se respeten principios, derechos y garantías constitucionales y legales
- Oposición: Oponerte al tratamiento de datos personales
Autoridad de control: Superintendencia de Industria y Comercio (SIC) de Colombia.
Plazos de respuesta (Decreto 1377 de 2013):
- Consultas: 10 días hábiles (prorrogable 5 días hábiles adicionales)
- Reclamos: 15 días hábiles (prorrogable 8 días hábiles adicionales)
9.6 México (LFPDPPP)
Si resides en México, tienes los derechos ARCO bajo la Ley Federal de Protección de Datos Personales:
- Acceso: Conocer qué datos personales estamos tratando
- Rectificación: Corregir datos inexactos y oponerte a decisiones automatizadas
- Cancelación: Solicitar la eliminación de datos de nuestros sistemas y registros
- Oposición: Oponerte al tratamiento, incluyendo decisiones automatizadas que produzcan efectos significativos
Autoridad: Secretaría Anticorrupción y Buen Gobierno (desde marzo 2025, anteriormente INAI).
9.7 Chile (Ley 21.719)
Si resides en Chile, a partir de diciembre de 2026 (entrada en vigor de la Ley 21.719), tendrás los siguientes derechos:
- Acceso, rectificación, supresión, oposición y bloqueo
- Portabilidad: Recibir datos en formato estructurado y de lectura mecánica
- No ser objeto de decisiones automatizadas: Incluyendo IA y elaboración de perfiles
Autoridad: Agencia de Protección de Datos Personales (APDP).
9.8 Perú (Ley 29733)
Si resides en Perú, tienes derechos bajo la Ley de Protección de Datos Personales:
- Información: Transparencia sobre el tratamiento de tus datos
- Acceso: Información sobre datos tratados en bancos de datos
- Rectificación: Corregir datos incompletos, inexactos o erróneos
- Supresión: Eliminar datos que resulten inadecuados
Autoridad: Autoridad Nacional de Protección de Datos Personales (APDP), adscrita al Ministerio de Justicia.
9.9 Ecuador (LOPDP)
Si resides en Ecuador, tienes los derechos ARCO+ bajo la Ley Orgánica de Protección de Datos Personales (2021):
- Acceso, rectificación, cancelación, oposición
- Portabilidad: Transferencia de datos en formato estructurado
- No ser objeto de procesamiento automatizado: Protección contra decisiones automatizadas, incluyendo sistemas de IA
Autoridad: Superintendencia de Protección de Datos Personales (SPDP).
9.10 Uruguay (Ley 18.331)
Si resides en Uruguay, tienes derechos bajo la Ley de Protección de Datos Personales y Habeas Data:
- Acceso, rectificación, supresión, oposición
- Portabilidad: Solicitar datos en formato estructurado y de lectura mecánica
Autoridad: Unidad Reguladora y de Control de Datos Personales (URCDP). Nota: Uruguay cuenta con decisión de adecuación de la UE desde 2012.
9.11 Argentina (Ley 25.326)
Si resides en Argentina, tienes derechos de Habeas Data bajo la Ley de Protección de Datos Personales:
- Acceso: Obtener información sobre datos personales procesados
- Rectificación: Corregir datos inexactos, incompletos o desactualizados
- Supresión: Eliminar datos personales
- Información: Transparencia sobre el procesamiento
Autoridad: Agencia de Acceso a la Información Pública (AAIP). Nota: Argentina cuenta con decisión de adecuación de la UE desde 2003.
Cómo Ejercer tus Derechos
- Desde la app: Ve a Configuración > Privacidad > Gestionar mis datos
- Por email: Envía tu solicitud a privacy@cyclora.app indicando tu nombre, documento de identificación, descripción de los datos y la acción solicitada
- Eliminación de cuenta: Disponible en Configuración > Cuenta > Eliminar cuenta
Plazos de respuesta:
- Colombia (consultas): 10 días hábiles (Art. 14, Ley 1581)
- Colombia (reclamos): 15 días hábiles (Art. 15, Ley 1581)
- Unión Europea (GDPR): 30 días (prorrogable 60 días adicionales)
- Brasil (LGPD): 15 días (declaración simplificada inmediata)
- California (CCPA): 45 días
- Otros países: Según la legislación local aplicable
10. Seguridad de los Datos
Implementamos medidas técnicas y organizativas para proteger tus datos:
- Encriptación en tránsito (HTTPS/TLS)
- Encriptación en reposo (AES-256)
- Controles de acceso basados en roles
- Monitoreo continuo de seguridad
- Copias de seguridad regulares
11. Menores de Edad
Nuestros servicios no están dirigidos a menores de 18 años. No recopilamos intencionalmente datos de menores. Si detectamos que hemos recopilado datos de un menor, los eliminaremos inmediatamente.
12. Cambios a esta Política
Podemos actualizar esta política ocasionalmente. Te notificaremos sobre cambios significativos mediante:
- Email a tu dirección registrada
- Notificación en la aplicación
- Aviso destacado en nuestro sitio web
La fecha de “Última actualización” al inicio indica cuándo se realizó la última modificación.
13. Contacto
Para consultas sobre esta política o el tratamiento de tus datos:
- Email: privacy@cyclora.app
- Asunto: Consulta de Privacidad - [Tu nombre]
14. Datos de Ubicación y GPS
Cyclora planea integrar funcionalidades basadas en ubicación en futuras versiones de la aplicación móvil. Cuando esta funcionalidad se implemente:
- Se solicitará tu consentimiento explícito antes de acceder a datos de ubicación GPS
- Podrás activar o desactivar la ubicación en cualquier momento desde los ajustes de la app
- Los datos de ubicación se usarán exclusivamente para funcionalidades del servicio (ej. rutas ciclistas, tiendas cercanas)
- No rastrearemos tu ubicación en segundo plano sin tu consentimiento expreso
Estado actual: La funcionalidad de GPS no está activa. Esta sección se actualizará cuando se implemente.
15. Permisos de la App Móvil
Nuestra aplicación móvil puede solicitar los siguientes permisos de tu dispositivo:
| Permiso | Propósito | Obligatorio |
|---|---|---|
| Cámara | Fotografiar bicicletas, escanear códigos QR | No (requerido para funcionalidades específicas) |
| Almacenamiento/Fotos | Subir imágenes de bicicletas desde la galería | No (requerido para subir fotos) |
| Notificaciones push | Alertas de mantenimiento, actualizaciones del servicio | No |
| Ubicación | Funcionalidad futura — tiendas cercanas, rutas (no activo actualmente) | No |
Puedes revocar cualquier permiso desde la configuración de tu dispositivo. La revocación puede limitar ciertas funcionalidades de la app.
Datos recopilados por la plataforma móvil (Expo/React Native):
- Tipo y modelo de dispositivo
- Versión del sistema operativo
- Versión de la app
- Datos de crash reporting (anónimos) para mejorar la estabilidad
16. Notificación de Brechas de Seguridad
En caso de una brecha de seguridad que afecte tus datos personales:
Procedimiento
- Detección y evaluación: Evaluaremos la naturaleza y el alcance de la brecha
- Notificación a autoridades: Notificaremos a la autoridad de protección de datos competente dentro de las 72 horas siguientes al conocimiento de la brecha (según requiere el GDPR Art. 33)
- Notificación a usuarios afectados: Si la brecha supone un alto riesgo para tus derechos y libertades, te notificaremos sin demora indebida
Información que te proporcionaremos
- Naturaleza de la brecha y datos afectados
- Medidas que hemos adoptado o proponemos adoptar
- Recomendaciones para que puedas protegerte
- Datos de contacto para consultas adicionales
Canales de notificación
- Email a tu dirección registrada
- Notificación en la app
- Aviso en nuestro sitio web (para brechas que afecten a muchos usuarios)
Para más detalles, consulta nuestro Acuerdo de Procesamiento de Datos (DPA).
17. Sub-procesadores
Utilizamos los siguientes proveedores de servicios (sub-procesadores) para operar la plataforma:
| Proveedor | Propósito | País | Política de Privacidad |
|---|---|---|---|
| Amazon Web Services (AWS) | Infraestructura cloud y almacenamiento | EE.UU. | AWS Privacy |
| Google Cloud Platform | Autenticación (OAuth) | EE.UU. | Google Privacy |
| MercadoPago | Procesamiento de pagos | Argentina/Colombia | MP Privacy |
| Google Analytics | Análisis web (datos anonimizados) | EE.UU. | Google Privacy |
| Expo (React Native) | Servicios móviles, notificaciones push | EE.UU. | Expo Privacy |
| Cloudflare | CDN, seguridad, DNS | Global | CF Privacy |
| Facebook/Meta | Autenticación (Login) y marketing | EE.UU. | Meta Privacy |
| Apple | Autenticación (Sign In) | EE.UU. | Apple Privacy |
La lista actualizada de sub-procesadores está disponible en nuestro DPA. Notificaremos cambios con al menos 30 días de anticipación.
18. Decisiones Automatizadas y Elaboración de Perfiles
Actualmente, Cyclora no utiliza procesos de toma de decisiones totalmente automatizadas que produzcan efectos jurídicos o le afecten significativamente de modo similar (según el Art. 22 del GDPR).
Podemos utilizar procesamiento automatizado para:
- Detección de fraude: Alertas automatizadas basadas en patrones de actividad sospechosa en la plataforma. Estas alertas son revisadas por personal humano antes de tomar cualquier acción
- Recomendaciones: Sugerencias de productos o servicios basadas en tu actividad, sin efectos jurídicos
Si en el futuro implementamos decisiones automatizadas con efectos significativos, te informaremos y garantizaremos tu derecho a obtener intervención humana, expresar tu punto de vista e impugnar la decisión.
19. Señal “Do Not Track” (DNT)
Cyclora respeta la señal “Do Not Track” de tu navegador. Cuando detectamos una señal DNT activa:
- No establecemos cookies de análisis ni de marketing
- No activamos píxeles de seguimiento de terceros
- Solo utilizamos cookies estrictamente necesarias para el funcionamiento del sitio
Para más información sobre cómo gestionar cookies, consulta nuestra Política de Cookies.
20. Analytics en la App Móvil
Nuestra aplicación móvil utiliza los servicios predeterminados de Expo/React Native para:
- Crash reporting: Recopilación anónima de informes de errores para mejorar la estabilidad de la app
- Métricas de rendimiento: Tiempos de carga y rendimiento general (anonimizados)
Estos datos son anónimos y no permiten identificarte personalmente. No utilizamos servicios de analytics de terceros adicionales en la app móvil.
21. Autoridad de Control
Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante:
- Colombia: Superintendencia de Industria y Comercio (SIC)
- Unión Europea: Tu autoridad de protección de datos local (lista de autoridades)
- Brasil: ANPD (Autoridade Nacional de Proteção de Dados)
- California: Oficina del Fiscal General de California
Esta política cumple con la Ley 1581 de 2012 (Colombia), el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley de Privacidad del Consumidor de California (CCPA/CPRA), y la Lei Geral de Proteção de Dados (LGPD) de Brasil.