Documento legal

Política de Privacidad y Seguridad

Última actualización: 4 de mayo de 2026 · Cumple Ley 1581 de 2012 (Habeas Data) y Decreto 1377 de 2013

Resumen — el compromiso central: TuPeticion no vende, no cede, no transfiere y no utiliza con fines comerciales, publicitarios ni de marketing ningún dato del Cliente o de los peticionarios. Operamos exclusivamente como herramienta de gestión interna; los datos de cada entidad son tratados únicamente para prestar el servicio que dicha entidad contrató.

Contenido

Alcance y rol de TuPeticion
Qué datos tratamos
Finalidades del tratamiento
No comercialización ni transferencia
Información en tickets de soporte
Derechos del titular
Medidas de seguridad
Retención y eliminación
Sub-encargados / proveedores
Cookies y datos técnicos
Cambios a esta política
Contacto

1. Alcance y rol de TuPeticion

Esta política aplica a toda persona, entidad o usuario que interactúe con la Plataforma TuPeticion, incluidos:

Visitantes del sitio público.
Personas que diligencian el formulario público de contacto.
Usuarios autenticados de entidades clientes (directores, control interno, asesores, encargados).
Peticionarios cuyos datos son cargados a la Plataforma por la entidad cliente para tramitar derechos de petición.

TuPeticion actúa como encargado del tratamiento respecto de los datos cargados por sus clientes (entidades) sobre los peticionarios. La entidad cliente es el responsable del tratamiento de esos datos. Para los datos que TuPeticion recolecta directamente (por ejemplo, en el formulario público de contacto o el registro de leads), TuPeticion es el responsable directo del tratamiento.

2. Qué datos tratamos

2.1 De visitantes públicos (formulario de contacto)

Nombre, cargo, organización.
Correo electrónico, teléfono.
Mensaje de contacto.
Datos técnicos: dirección IP, agente de usuario, fecha y hora.

2.2 De usuarios autenticados de la entidad cliente

Identificación de usuario, nombre completo, correo institucional (si la entidad lo provee).
Rol funcional dentro de la entidad (director general, control interno, asesor, encargado).
Despacho asignado y arquitectura organizacional.
Fecha del último ingreso, registros de auditoría sobre acciones en la plataforma.

2.3 De peticionarios (cargados por la entidad)

Nombre, tipo y número de documento, correo, teléfono, dirección.
Contenido de la petición, anexos, canal de recepción.
Respuestas emitidas por la entidad y trazabilidad asociada.

3. Finalidades del tratamiento

Los datos se tratan exclusivamente para:

Prestar el servicio de gestión de derechos de petición contratado.
Permitir el acceso autenticado y la operación segura de los usuarios autorizados.
Calcular plazos, generar notificaciones, recordatorios y trazabilidad.
Atender solicitudes de soporte iniciadas por el Cliente.
Cumplir con obligaciones legales aplicables.
Mejorar la calidad del servicio mediante métricas técnicas agregadas y anonimizadas.

4. No comercialización ni transferencia comercial

TuPeticion no:

vende ni cede a terceros datos personales recolectados;
transfiere datos a redes publicitarias, anunciantes o brokers de información;
utiliza el contenido de las peticiones para entrenar modelos comerciales de inteligencia artificial;
realiza perfilamiento con fines de marketing.

Cualquier transferencia se limita a sub-encargados estrictamente operativos (por ejemplo, proveedores de infraestructura) bajo cláusulas que replican estos compromisos. Ver sección 9.

5. Información en tickets de soporte

Cuando el Cliente abre un ticket en "Contactar soporte" dentro de la Plataforma, conviene que conozca lo siguiente:

Los mensajes del ticket se almacenan en la base de datos de la Plataforma y son visibles únicamente para el equipo de TuPeticion y los usuarios autorizados de la entidad.
El Cliente puede compartir información operativa que requiera para describir el caso: identificadores de tenant, despacho, radicado, capturas de pantalla, mensajes de error, configuración.
El equipo de TuPeticion utilizará dicha información exclusivamente para resolver el ticket y, en versiones agregadas/anonimizadas, para mejorar el servicio.
El equipo de TuPeticion no accederá al contenido sustantivo de peticiones ciudadanas salvo que sea estrictamente indispensable y exista solicitud explícita del Cliente para ese caso puntual.
Si el Cliente proporciona correo electrónico, las respuestas pueden enviarse en copia a ese correo cuando se active el módulo de envío institucional de TuPeticion.
Recomendamos al Cliente no incluir en los tickets datos personales sensibles (salud, ideología, orientación, etc.) salvo que sea imprescindible para el caso.

6. Derechos del titular

Conforme a la Ley 1581 de 2012, el titular de los datos personales puede ejercer los siguientes derechos:

Acceso: conocer qué datos personales suyos se tratan.
Rectificación: solicitar la corrección de datos inexactos, incompletos o desactualizados.
Actualización: mantener los datos al día.
Supresión: solicitar la eliminación cuando proceda legalmente.
Revocación: retirar el consentimiento previamente otorgado, cuando aplique.
Consulta y reclamo: ante TuPeticion o ante la Superintendencia de Industria y Comercio (SIC).

Los peticionarios cuyos datos hayan sido cargados por una entidad cliente deben dirigir sus solicitudes directamente a esa entidad, que es la responsable del tratamiento. TuPeticion atenderá toda solicitud que se le canalice por dicha vía con la diligencia técnica correspondiente.

7. Medidas de seguridad

Acceso al servidor únicamente por llave SSH, sin autenticación por contraseña.
Contraseñas almacenadas con bcrypt (cost 12), nunca en texto plano.
Sesiones con cookie HTTPOnly, SameSite y rotación al uso.
Protección CSRF en todas las acciones de escritura.
Aislamiento multi-tenant: cada entidad solo puede acceder a sus propios datos a nivel de consulta SQL.
Auditoría: cada acción significativa queda registrada con fecha, usuario y rol.
Cabeceras de seguridad: CSP estricta, no-sniff, frame-ancestors none, referrer-policy.
Firewall a nivel sistema y proxy reverso.
Cifrado HTTPS / TLS al activarse el dominio institucional.

8. Retención y eliminación

Los datos se conservan mientras esté vigente el servicio para el Cliente. Al término del contrato:

El Cliente puede solicitar la entrega de sus datos en formato estructurado.
Los datos se eliminan de los sistemas activos en un plazo razonable (típicamente 30 días tras la entrega).
Las copias de respaldo son rotadas y eliminadas conforme a su ciclo natural.
Los registros de auditoría se conservan por el plazo legal aplicable.

9. Sub-encargados y proveedores

TuPeticion puede apoyarse en proveedores de infraestructura (alojamiento, almacenamiento, correo institucional cuando esté activo) que actúan como sub-encargados. Estos proveedores se seleccionan con criterios técnicos de seguridad y se obligan, contractualmente, a tratar los datos solo para los fines del servicio. TuPeticion no permite el uso comercial de la información por parte de estos proveedores.

10. Cookies y datos técnicos

La Plataforma utiliza cookies estrictamente necesarias para el funcionamiento del servicio:

Cookie de sesión (tupeticion.sid): identifica al usuario autenticado mientras la sesión esté activa.
Token CSRF: protege contra solicitudes falsificadas entre sitios.
Preferencia de tema (localStorage, no es cookie): recuerda si el usuario eligió tema claro u oscuro.

TuPeticion no utiliza cookies de seguimiento, analítica de terceros, ni publicidad.

11. Cambios a esta política

Cualquier cambio sustancial será comunicado a los Clientes a través de la Plataforma y publicado en esta página con su fecha de actualización. Le recomendamos revisar este documento periódicamente.

12. Contacto

Para ejercer sus derechos o realizar consultas sobre privacidad puede:

Si es cliente: abrir un ticket en la sección "Contactar soporte" dentro de la plataforma.
Si es visitante público: utilizar el formulario de contacto.
Si es peticionario cuyos datos fueron cargados por una entidad: dirigir su solicitud directamente a la entidad responsable.