política de privacidad

Marco normativo aplicable: GDPR (UE) 2016/679 Ley 1581/2012 (CO) LFPDPPP (MX) Ley 29733 (PE) Ley 19.628 (CL)

Su privacidad es nuestra arquitectura, SODASPACE ha sido diseñada desde su base para proteger sus datos más sensibles.

ASDF NETWORK LATAM S.A.S. (en adelante "SODASPACE", "nosotros" o "el Responsable") trata los datos personales de sus usuarios con la máxima responsabilidad y transparencia. Las presentes Políticas de Privacidad describen qué datos recopilamos, cómo los usamos, con quién los compartimos y cuáles son sus derechos como titular.

Este documento cumple con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley 1581 de 2012 de Colombia y su Decreto 1377 de 2013, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, la Ley 29733 de Perú y la Ley 19.628 de Chile.

Artículo 1. Identificación del Responsable del Tratamiento.
Razón social: ASDF NETWORK LATAM S.A.S. NIT 900964091-1. Domicilio principal: CRA 13 83 19 Bogotá DC Colombia. info@sodaspace.co Opera en: Colombia · México · Chile · Perú. Encargado de Protección de Datos (DPO) Disponible mediante solicitud a info@sodaspace.co

Artículo 2. Ámbito de Aplicación

Estas políticas aplican a:

•  Extranjeros altamente calificados que accedan al proceso de certificación Super Lead.

•  Representantes de empresas y equipos de RRHH que contraten los servicios SODASPACE.

•  Operadores de inmuebles registrados en la plataforma.

•  Visitantes del sitio web sodaspace.co y cualquier subdominio asociado.

Si usted es menor de 18 años, no debe usar los servicios de SODASPACE. No recopilamos datos de menores de manera intencional. Si detectamos datos de menores, los eliminaremos de inmediato.

Artículo 3. Categorías de Datos Personales Recopilados

Recopilamos los siguientes tipos de datos, clasificados por categoría:

Categoría de Dato

Ejemplos / Descripción

Datos de Identidad. Nombre completo, número de pasaporte, visa, fecha de nacimiento, nacionalidad, fotografía frontal del documento.

Datos Biométricos. Imagen facial capturada en tiempo real para verificación liveness . Dato sensible de categoría especial bajo GDPR Art. 9 y Ley 1581.

Datos Financieros (Open Banking). Acceso de solo lectura a movimientos bancarios, saldo promedio, fuente de ingresos — vía Plaid (EEUU/MX) o Belvo (CO/PE/CL). Nunca almacenamos credenciales bancarias.

Datos de Contacto: Correo electrónico, número de teléfono, país de residencia actual.

Datos de Firma Electrónica: Registro de consentimiento vía DocuSign: IP, fecha/hora, hash del documento firmado.

Datos de Blockchain: Hash SHA-256 del perfil Super Lead registrado en Polygon. Este hash es público e inmutable. No contiene datos personales en texto claro.

Datos de Uso de Plataforma: Dirección IP, tipo de navegador, páginas visitadas, duración de sesión, cookies de análisis.

Datos de Empresa (clientes RRHH/Corp): Razón social, RUT/RFC/NIT, persona de contacto, cargo, correo corporativo.

Artículo 4. Base Legal para el Tratamiento

Cada tratamiento de datos personales se ampara en al menos una de las siguientes bases legales:

1.  Consentimiento explícito (GDPR Art. 6.1.a / Ley 1581 Art. 9): El usuario otorga autorización expresa antes del inicio del proceso de certificación, mediante firma electrónica en DocuSign.

2.  Ejecución de contrato (GDPR Art. 6.1.b): El tratamiento es necesario para verificar la idoneidad del usuario y generar el Certificado Super Lead solicitado.

3.  Interés legítimo (GDPR Art. 6.1.f): Detección de fraude, seguridad de la plataforma, mejora de algoritmos de evaluación.

4.  Cumplimiento de obligación legal (GDPR Art. 6.1.c): Reportes ante autoridades de control cuando la normativa local lo exija.

Para datos biométricos (categoría especial bajo GDPR Art. 9): la base legal es el consentimiento explícito e informado, obtenido antes de cualquier captura facial.

Artículo 5. Finalidades del Tratamiento

5.1 Finalidades principales

•  Verificación de identidad y prevención de fraude mediante biometría liveness.

•  Evaluación de solvencia financiera a través de Open Banking (solo lectura).

•  Generación y emisión del Certificado Super Lead con hash blockchain.

•  Gestión de la relación contractual con operadores o propietarios de inmuebles y clientes corporativos.

•  Facilitación del proceso de arrendamiento sin fiador local.

5.2 Finalidades secundarias (con consentimiento adicional)

•  Envío de comunicaciones comerciales y boletines informativos.

•  Mejora de modelos de puntuación de riesgo mediante análisis agregado y anonimizado.

•  Estudios de mercado sobre movilidad de talento calificado en Latinoamérica.

Nunca utilizaremos sus datos biométricos ni financieros para finalidades distintas a las declaradas sin nuevo consentimiento explícito.

Artículo 6. Transferencias Internacionales de Datos

SODASPACE opera en múltiples países y utiliza proveedores tecnológicos globales. Sus datos pueden ser transferidos y procesados en:

Categoría de Dato: Verificación biométrica y pagos. Acogido a DPF (Data Privacy Framework) UE–EE. UU. Cláusulas Contractuales Estándar aplicables.

Plaid (EE. UU.) Open Banking para usuarios en México y EE. UU. Certificado SOC 2 Tipo II. Transferencia bajo SCCs.

Belvo (México / Brasil) Open Banking para Colombia, Perú y Chile. Acuerdo de procesamiento de datos conforme a cada ley local.

DocuSign (EE. UU.) Firma electrónica avanzada. ISO 27001. Cláusulas contractuales de protección de datos.

Polygon / Alchemy (Global) Red blockchain pública. Solo se publica el hash del perfil, no datos personales.

AWS (Multi-región) Infraestructura de almacenamiento y cómputo. Servidores preferentes en región us-east-1 y sa-east-1 (São Paulo).

Todas las transferencias internacionales cuentan con garantías adecuadas conforme al Capítulo V del GDPR, incluyendo Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea.

Artículo 7. Plazos de Conservación

Los datos se conservarán durante el tiempo estrictamente necesario para cumplir con las finalidades declaradas:

Categoría de Dato Eliminados automáticamente en 30 días tras completar la verificación, salvo disputa activa.

Datos financieros (Plaid/Belvo) El token de acceso expira en 90 días. SODASPACE no almacena datos bancarios crudos.

Certificado Super Lead + hash blockchain El hash en blockchain es permanente e inmutable. Los datos asociados en nuestra base: 24 meses o hasta revocación del certificado.

Datos de firma (DocuSign) 5 años conforme a obligaciones legales de conservación de documentos electrónicos.

Datos de uso / logs 12 meses desde la última actividad en plataforma.

Datos de clientes corporativos Vigencia del contrato + 5 años por obligaciones fiscales y de cumplimiento.

Artículo 8. Derechos del Titular de los Datos

Como titular de sus datos personales, usted tiene los siguientes derechos, ejercibles de forma gratuita:

Acceso Solicitar confirmación de si tratamos sus datos y obtener una copia de los mismos en formato portable.

Rectificación Exigir la corrección de datos inexactos o incompletos que le conciernen.

Supresión ("derecho al olvido") Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad o retire su consentimiento. No aplica a datos registrados en blockchain (inmutabilidad técnica).

Portabilidad Recibir sus datos en formato estructurado, de uso común y lectura mecánica (JSON/CSV), y transmitirlos a otro responsable.

Oposición Oponerse al tratamiento basado en interés legítimo o con fines de marketing directo.

Limitación del tratamiento Solicitar la restricción del procesamiento mientras se resuelve una disputa sobre exactitud o licitud.

Revocación del consentimiento Retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.

No sujeción a decisiones automatizadas No ser objeto de decisiones que produzcan efectos jurídicos basadas únicamente en procesamiento automatizado, incluida la elaboración de perfiles (GDPR Art. 22).

Para ejercer cualquiera de estos derechos, envíe su solicitud a: info@sodaspace.co indicando su nombre completo, tipo y número de documento, descripción del derecho que desea ejercer y documentación acreditativa de su identidad. Responderemos en un plazo máximo de 15 días hábiles (Colombia) / 20 días hábiles (México) / 30 días calendario (GDPR). Si no recibe respuesta satisfactoria, puede presentar reclamación ante la Superintendencia de Industria y Comercio (SIC) de Colombia, el INAI de México, el INDECOPI de Perú, o la autoridad de protección de datos de su país de residencia.

Artículo 9. Tratamiento Especial de Datos Biométricos

Los datos biométricos constituyen una categoría especial de datos personales bajo el GDPR (Art. 9) y normativas locales equivalentes. SODASPACE implementa las siguientes salvaguardias específicas:

•  El proceso de captura facial se realiza exclusivamente a través de un proveedor certificado con estándares de seguridad SOC 2 Tipo II y ISO 27001.

•  La imagen facial se usa únicamente para verificación liveness (el usuario está físicamente presente) y correspondencia con el documento de identidad. No se construye ninguna base de datos de perfiles faciales permanente.

•  El proveedor elimina automáticamente los datos biométricos procesados dentro de los 30 días siguientes a la verificación.

•  El consentimiento para el tratamiento biométrico es solicitado de forma separada, explícita e inequívoca antes de iniciar la captura.

•  El usuario puede negarse a la verificación biométrica; en tal caso, no podrá completar el proceso de certificación Super Lead, pero ninguna otra penalidad se aplicará.

La negativa al tratamiento biométrico implica la imposibilidad técnica de completar la certificación Super Lead, dado que la verificación liveness es un requisito de seguridad estructural del servicio.

Artículo 10. Datos Financieros y Open Banking

SODASPACE accede a información bancaria únicamente con el propósito de evaluar la solvencia financiera del solicitante. Este acceso opera bajo los siguientes principios:

•  Acceso de solo lectura: SODASPACE nunca puede iniciar transacciones, transferencias ni modificaciones en sus cuentas bancarias.

•  Consentimiento explícito por institución: el usuario autoriza el acceso a cada institución bancaria de forma individual dentro del flujo de Plaid o Belvo.

•  Temporalidad limitada: los tokens de acceso a Open Banking caducan en 90 días y no son renovados automáticamente.

•  Datos analizados: monto promedio de ingresos mensuales, estabilidad del flujo de caja, presencia de ingresos recurrentes. No se almacenan números de cuenta completos ni credenciales.

•  El reporte generado es una evaluación agregada. Los datos bancarios crudos no se almacenan en los servidores de SODASPACE.

Su banco nunca verá que SODASPACE accedió a su cuenta. El proceso opera bajo protocolos OAuth 2.0 estandarizados, similares a los que usan servicios de contabilidad personal como Fintonic o Copilot.

Artículo 11. Cookies y Tecnologías de Rastreo

11.1 Tipos de cookies utilizadas

•  Cookies estrictamente necesarias: permiten la navegación básica, autenticación de sesión y acceso a áreas protegidas. No requieren consentimiento.

•  Cookies analíticas: Google Analytics / Mixpanel para medir tráfico y comportamiento de uso, con IP anonimizada. Requieren consentimiento.

•  Cookies de funcionalidad: recuerdan preferencias de idioma y configuración de pantalla. Requieren consentimiento.

•  Cookies de marketing: no utilizamos cookies de seguimiento publicitario de terceros.

11.2 Gestión de cookies

Al ingresar al sitio web, se le presentará un banner de consentimiento de cookies. Puede modificar sus preferencias en cualquier momento desde la sección "Configuración de Privacidad" en el pie de página del sitio.

Artículo 12. Medidas de Seguridad

SODASPACE implementa medidas técnicas y organizativas apropiadas para proteger sus datos personales contra acceso no autorizado, pérdida, destrucción o alteración:

•  Cifrado en tránsito: TLS 1.3 en todas las comunicaciones entre cliente y servidor.

•  Cifrado en reposo: AES-256 para datos sensibles almacenados en base de datos.

•  Control de acceso: autenticación multifactor (MFA) obligatoria para todos los miembros del equipo SODASPACE con acceso a datos.

•  Segmentación de datos: los datos biométricos y financieros se procesan en entornos aislados, sin acceso desde los sistemas de administración general.

•  Registros de auditoría: logs inmutables de todos los accesos a datos personales sensibles.

•  Plan de respuesta a incidentes: notificación a autoridades de control en 72 horas ante brecha de datos (GDPR Art. 33). Notificación a usuarios afectados sin dilación indebida.

SODASPACE no ha sufrido brechas de seguridad desde su fundación. Mantenemos un programa de seguridad continuo con auditorías periódicas.

Artículo 13. Terceros y Sub-encargados del Tratamiento

SODASPACE comparte datos personales con los siguientes proveedores de servicios, quienes actúan como subencargados del tratamiento y están sujetos a acuerdos de protección de datos (DPA):

Stripe Inc.

Biometría (Stripe Identity) y pagos. Política: stripe.com/privacy

Plaid Inc.

Open Banking (EE.UU. / México). Política: plaid.com/legal/privacy-statement

Belvo Technologies

Open Banking (Colombia / Perú / Chile). Política: belvo.com/privacy-policy

DocuSign Inc.

Firma electrónica. Política: docusign.com/privacy

Polygon / Alchemy

Red blockchain pública. El hash es información pública.

Amazon Web Services

Infraestructura cloud. Política: aws.amazon.com/privacy

Google Analytics

Análisis de uso del sitio web (con IP anonimizada).

No vendemos, alquilamos ni comercializamos datos personales a terceros con fines publicitarios. El acceso de terceros está limitado estrictamente a lo necesario para prestar el servicio.

Artículo 14. Decisiones Automatizadas y Elaboración de Perfiles

El proceso de certificación Super Lead incorpora evaluaciones automatizadas de los datos financieros y de identidad. Estas evaluaciones:

•  Producen una puntuación de solvencia que es determinante para la aprobación del certificado.

•  Están sujetas a revisión humana cuando el resultado sea negativo o cuando el usuario impugne la decisión.

•  No utilizan datos de categoría especial (biométricos) para la puntuación financiera; ambos procesos son independientes.

Conforme al Art. 22 del GDPR, usted tiene derecho a solicitar intervención humana, expresar su punto de vista e impugnar la decisión automatizada. Para ejercer este derecho, contacte a info@sodaspace.co.

Artículo 15. Menores de Edad

Los servicios de SODASPACE están dirigidos exclusivamente a mayores de 18 años. No recopilamos intencionalmente datos personales de menores de edad.

Si tiene conocimiento de que un menor ha proporcionado datos personales a través de nuestra plataforma, le rogamos que nos lo comunique a info@sodaspace.co para proceder a su eliminación inmediata.

Artículo 16. Modificaciones a estas Políticas

SODASPACE se reserva el derecho a modificar estas Políticas de Privacidad en cualquier momento para adaptarlas a cambios legislativos, tecnológicos o del modelo de negocio.

Ante cambios sustanciales que afecten el tratamiento de sus datos, le notificaremos por correo electrónico con al menos 15 días de antelación a la entrada en vigor de los cambios. La continuación del uso de los servicios tras dicha notificación implicará la aceptación de las nuevas condiciones.

Versión actual 2.0 Fecha de entrada en vigor 28 de Marzo de 2026 Versión anterior 1.0 (15 Marzo 2026)

Artículo 17. Ley Aplicable y Jurisdicción

Estas Políticas de Privacidad se rigen principalmente por la legislación colombiana, en particular la Ley Estatutaria 1581 de 2012 y su Decreto Reglamentario 1377 de 2013. Para usuarios residentes en la Unión Europea, aplica el Reglamento (UE) 2016/679 (GDPR). Para usuarios en México, la LFPDPPP. Para Perú, la Ley 29733. Para Chile, la Ley 19.628.

Cualquier controversia que no pueda resolverse mediante el ejercicio de derechos descrito en el Artículo 8, será sometida a la jurisdicción de los jueces y tribunales competentes de Bogotá, Colombia, sin perjuicio del derecho del usuario a acudir ante la autoridad de protección de datos de su país de residencia.

Artículo 18. Canales de Contacto y DPO

Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de sus datos personales: info@daspace.co

Tiempo de respuesta

15 días hábiles (máximo 30 días calendario para solicitudes GDPR)

SODASPACE está comprometida con ser la empresa de tecnología inmobiliaria con los más altos estándares de privacidad en Latinoamérica. Su confianza es la base de nuestra operación.