Política de Privacidad y Protección de Datos Personales del Agente de Servicio al Cliente y Educación Financiera de AI FOR ALL S.A.S. Sitio web: https://iaforall.tech. Este documento describe, de forma clara y transparente, cómo recopilamos, usamos, compartimos y protegemos la información de las personas que interactúan con nuestros servicios.
01 Identificación del Responsable del Tratamiento
AI FOR ALL S.A.S. (NIT 902.047.926-1), (en adelante "AI FOR ALL", "nosotros" o "la Empresa"), con domicilio en la República de Colombia, actúa como Responsable del Tratamiento de los datos personales recopilados a través de su agente conversacional de inteligencia artificial, destinado a la educación financiera básica y la atención de preguntas frecuentes de tarjetahabientes estudiantes que acceden a su primer producto financiero crediticio.
El agente no realiza operaciones transaccionales, no accede a información financiera del usuario, no consulta centrales de riesgo ni gestiona datos de tarjetas de crédito. Su función es estrictamente informativa y educativa.
Contacto del Responsable
- Correo electrónico: privacidad@iaforall.tech
- Sitio web: https://iaforall.tech
- Ente de control: Superintendencia de Industria y Comercio (SIC) — www.sic.gov.co
02 Marco Legal Aplicable
Esta política se fundamenta en la normativa colombiana vigente en materia de protección de datos personales, seguridad de la información y uso de inteligencia artificial:
Protección de Datos Personales
- Ley 1581 de 2012 — Régimen General de Protección de Datos Personales
- Decreto 1377 de 2013 — Reglamentación parcial de la Ley 1581 de 2012
- Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio (Libro 2, Parte 2, Título 2)
Protección al Consumidor y Educación Financiera
- Ley 1328 de 2009 — Estatuto del Consumidor Financiero (deber de información y educación financiera)
- Ley 1480 de 2011 — Estatuto del Consumidor (protección general en servicios digitales)
Seguridad de la Información y Ciberseguridad
- Ley 1273 de 2009 — Protección de la información y los datos (delitos informáticos)
- Ley 527 de 1999 — Mensajes de datos, comercio electrónico y firmas digitales
- CONPES 3854 de 2016 — Política nacional de seguridad digital
- CONPES 3995 de 2020 — Política nacional de confianza y seguridad digital
- ISO/IEC 27001 — Estándar internacional de seguridad de la información (referente técnico adoptado)
Protección al Consumidor Joven
- Artículo 5, Ley 1328 de 2009 — Principios orientadores en favor de los consumidores financieros, con énfasis en el derecho a la educación financiera para personas que acceden a su primer producto crediticio.
03 Ámbito de Aplicación
Esta política aplica al tratamiento de datos personales de:
- Estudiantes tarjetahabientes que usan el agente conversacional para resolver dudas sobre su tarjeta de crédito y acceder a contenidos de educación financiera.
- Usuarios del agente conversacional de IA, tanto en canales propios (sitio web) como en canales de mensajería habilitados (WhatsApp Business u otros).
- Personas que interactúan con el agente sin haber completado un proceso de registro, en consultas anónimas de preguntas frecuentes.
El agente está diseñado exclusivamente para personas mayores de 18 años, dado que su contenido se centra en el acompañamiento informativo de tarjetahabientes de un producto financiero crediticio cuya edad mínima de contratación es de 18 años. El servicio no está dirigido a menores de edad y no se realiza tratamiento de datos personales de menores de manera intencional.
04 Datos Personales que Tratamos
El agente de IA de AI FOR ALL opera con un volumen mínimo de datos personales, limitado a lo estrictamente necesario para prestar el servicio de información y educación financiera.
4.1 Datos que el Usuario Proporciona Voluntariamente
| Tipo de Dato | Descripción | Canal | Cuándo se recopila |
|---|---|---|---|
| Nombre o alias | Para personalizar la conversación | WhatsApp / Web | Si el usuario lo facilita al iniciar la conversación; puede declinar entregarlo |
| Número de teléfono | Identificador del canal de mensajería (no se solicita aparte del propio canal) | WhatsApp Business | Lo provee Meta como parte del webhook al recibir el mensaje |
| Correo electrónico | Creación de cuenta administrativa o envío de recursos educativos (opcional) | Web | Solo si el usuario lo registra voluntariamente en el sitio |
| Indicador de relación comercial | Autodeclaración de si ya es tarjetahabiente del cliente que opera el agente (campo booleano) | WhatsApp / Web | Si el usuario lo confirma durante el onboarding |
| Indicador de capacidad de pago autodeclarada | Autodeclaración general de si percibe ingresos (booleano; no se solicita monto ni fuente) | WhatsApp / Web | Si el usuario lo confirma durante el onboarding |
| Mensajes de audio (notas de voz) | Solo cuando el usuario los envía voluntariamente; se transcriben a texto y se procesan como cualquier mensaje | Al enviar la nota de voz por el canal |
4.2 Datos Generados Automáticamente por la Interacción
| Tipo de Dato | Descripción | Canal |
|---|---|---|
| Historial de conversación | Mensajes intercambiados con el agente, almacenados para continuidad y auditoría | WhatsApp / Web |
| Consultas realizadas | Preguntas sobre el uso del producto, conceptos financieros y preguntas frecuentes | WhatsApp / Web |
| Metadatos de sesión | Fecha y hora de cada mensaje, duración de la interacción, identificador interno de sesión | WhatsApp / Web |
| Datos técnicos de navegación | Dirección IP, tipo de dispositivo, navegador y sistema operativo | Solo canal Web |
| Identificador de WhatsApp | Número de teléfono y nombre público de perfil entregados por Meta vía webhook | Solo canal WhatsApp |
4.3 Datos que NO Tratamos
AI FOR ALL no recopila, no solicita y no almacena:
- Números de tarjeta de crédito, CVV ni datos de bandas magnéticas o chips.
- Contraseñas o PINs de acceso a productos financieros.
- Saldos, movimientos, extractos ni información transaccional.
- Historial crediticio ni datos de centrales de riesgo (Datacrédito, TransUnión u otras).
- Datos sensibles según el artículo 5 de la Ley 1581 de 2012 (salud, origen étnico, orientación sexual, opiniones políticas, creencias religiosas).
- Documentos de identidad en imagen o copia.
- Información biométrica de ningún tipo.
Si en el transcurso de una conversación el usuario comparte voluntariamente alguno de estos datos, el agente está instruido para no procesarlos ni almacenarlos y para redirigir al usuario al canal oficial de la entidad financiera emisora de su tarjeta.
05 Finalidades del Tratamiento
Los datos personales son tratados única y exclusivamente para:
5.1 Finalidades Principales
- Atención de preguntas frecuentes sobre el uso de la tarjeta de crédito, fechas de corte, pago mínimo, canales de atención y otros conceptos generales del producto.
- Educación financiera: entrega de contenidos didácticos, guías, consejos y explicaciones sobre conceptos financieros básicos adaptados al perfil de un estudiante que usa su primer producto de crédito.
- Onboarding informativo: acompañamiento inicial para que el estudiante comprenda los términos, condiciones y derechos asociados a su tarjeta de crédito, en lenguaje claro y sencillo.
- Escalamiento informado: cuando la consulta supera el alcance del agente, orientar al usuario hacia el canal correcto (entidad financiera, Defensoría del Consumidor Financiero, SFC).
5.2 Finalidades Secundarias (con consentimiento explícito)
- Envío de recursos educativos por correo electrónico (guías, infografías, contenidos de finanzas personales), si el usuario proporcionó su correo y lo autorizó.
- Mejora del servicio: análisis agregado y completamente anonimizado de los temas más consultados, para mejorar la calidad del agente. Este análisis no permite identificar a ningún usuario individual.
5.3 Finalidades Prohibidas
Los datos no serán utilizados para:
- Entrenar modelos de inteligencia artificial con información personal identificable de los usuarios.
- Vender, arrendar ni comercializar perfiles de usuarios a terceros.
- Realizar evaluaciones crediticias ni scoring financiero de ningún tipo.
- Tomar decisiones automatizadas con efectos jurídicos sobre el usuario.
- Publicidad o mercadeo directo sin consentimiento previo y expreso.
06 Uso de Inteligencia Artificial
6.1 Funcionamiento del Agente Conversacional
El agente de IA de AI FOR ALL opera como interfaz de lenguaje natural para responder preguntas frecuentes y entregar contenidos de educación financiera. Su funcionamiento es:
- El usuario inicia una conversación a través del canal habilitado.
- El mensaje es recibido y procesado en los servidores de AI FOR ALL.
- El agente interpreta la intención del mensaje usando modelos de lenguaje de gran escala (LLM) y genera una respuesta informativa.
- Si la consulta requiere acceso a información personal, transaccional o financiera del usuario, el agente no la gestiona y dirige al usuario al canal oficial de la entidad financiera.
- En la primera interacción, el usuario recibe notificación expresa de que está siendo atendido por un agente de inteligencia artificial.
6.2 Garantías sobre el Uso de IA
- Las conversaciones son procesadas en tiempo real y no son utilizadas para entrenar los modelos de IA de proveedores externos.
- El agente no toma decisiones que afecten los derechos o situación financiera del usuario. Su rol es estrictamente informativo.
- Existe un mecanismo de escalamiento a información sobre canales humanos para quejas formales, situaciones de urgencia o cuando el usuario lo solicite.
- El usuario puede en cualquier momento solicitar que su conversación sea atendida por una persona, y el agente le indicará cómo contactar al equipo humano correspondiente.
6.3 Proveedores de Modelos de IA
Para la generación de respuestas conversacionales y la transcripción de notas de voz, AI FOR ALL utiliza servicios de inferencia de proveedores especializados de modelos de lenguaje (LLM). La selección del proveedor puede variar según disponibilidad, desempeño o continuidad del servicio, conservando en todos los casos las siguientes garantías mínimas:
- Las solicitudes se procesan en tiempo real mediante llamadas a la API del proveedor.
- El proveedor no conserva los datos enviados más allá del tiempo necesario para devolver la respuesta y no los utiliza para entrenar, reentrenar ni mejorar sus modelos.
- AI FOR ALL únicamente contrata proveedores cuyos términos de servicio establezcan estándares de seguridad y confidencialidad equivalentes o superiores a los descritos en esta política.
- Si AI FOR ALL incorpora o sustituye proveedores, los nuevos quedarán sujetos a las mismas garantías y el titular podrá solicitar información actualizada escribiendo a privacidad@iaforall.tech.
07 Canales de Interacción
7.1 Chat Web y Portal Administrativo (iaforall.tech)
- Conexiones cifradas mediante TLS 1.3 administrado por el proveedor de infraestructura.
- Para el portal administrativo, las contraseñas se almacenan exclusivamente como hashes generados con el algoritmo bcrypt (factor de costo 12), nunca en texto plano.
- La autenticación se realiza con tokens JWT firmados con algoritmo HS256, divididos en:
- Access token de corta duración (1 hora) para autorizar las solicitudes a la API.
- Refresh token de hasta 7 días para renovar el access token sin requerir un nuevo inicio de sesión.
- El servidor implementa control de acceso por rol y limitación de tasa (rate limiting) sobre los endpoints sensibles.
7.2 WhatsApp Business API
- Los mensajes son entregados a los servidores de AI FOR ALL mediante webhook de Meta Platforms, autenticado con firma HMAC-SHA256 para verificar su autenticidad.
- Se almacenan el identificador de WhatsApp del usuario (número de teléfono), nombre o alias autodeclarado, contenido de los mensajes y metadatos básicos (fecha y hora), con el fin exclusivo de mantener continuidad de la conversación y permitir auditoría posterior por parte del cliente que opera el agente.
- Las notas de voz son procesadas únicamente para ser transcritas a texto mediante el servicio descrito en la sección 6.3; el archivo de audio no se conserva más allá del tiempo necesario para su transcripción.
- AI FOR ALL no publica contenido en el perfil del usuario, no accede a su lista de contactos, no envía mensajes no solicitados ni publicidad por este canal.
- Meta Platforms procesa los mensajes conforme a sus propias políticas de privacidad; el uso de este canal implica la aceptación previa de los términos de WhatsApp por parte del usuario.
- En la primera interacción el usuario recibe información sobre la naturaleza del agente de IA y los canales para ejercer sus derechos.
7.3 Nuevos Canales
Si se habilitan canales adicionales, esta política será actualizada y los usuarios notificados con mínimo 15 días de anticipación.
08 Base Legal del Tratamiento
| Tratamiento | Base Legal |
|---|---|
| Atención de preguntas frecuentes (sin registro) | Interés legítimo (Art. 6, Ley 1581/2012) |
| Creación de cuenta y perfil de usuario | Ejecución del contrato de uso del servicio |
| Historial de conversación | Interés legítimo / ejecución del servicio |
| Envío de recursos educativos por correo | Consentimiento explícito del titular |
| Análisis anonimizado de uso | Interés legítimo (datos no identificables) |
| Conservación de registros de sesión | Obligación legal (Ley 527/1999, normas de auditoría) |
El consentimiento para tratamientos opcionales (envío de contenidos, personalización) es libre, previo, expreso e informado, y puede ser revocado en cualquier momento sin afectar el acceso al servicio principal.
09 Compartición de Datos con Terceros
9.1 Principio General
AI FOR ALL no vende, arrienda ni comercializa datos personales de sus usuarios.
9.2 Destinatarios Autorizados
| Destinatario | Propósito | Base Legal |
|---|---|---|
| Proveedor(es) de modelos de lenguaje (LLM) | Inferencia de lenguaje natural y transcripción de notas de voz en tiempo real, bajo cláusulas de no retención ni uso para entrenamiento (ver sección 6.3) | Necesidad técnica / Términos de servicio del proveedor |
| Proveedor de infraestructura en la nube | Hospedaje, almacenamiento y operación de la plataforma | Necesidad técnica / Contrato |
| Meta Platforms, Inc. (WhatsApp Business API) | Entrega y recepción de mensajes en el canal WhatsApp | Necesidad técnica |
| Herramientas de analítica (si aplica) | Métricas anonimizadas de uso del servicio | Interés legítimo |
| Autoridades judiciales, SIC u otros entes de control | Cumplimiento de órdenes judiciales o requerimientos legales | Obligación legal |
AI FOR ALL no comparte datos con entidades financieras, centrales de riesgo ni terceros comerciales sin consentimiento expreso del titular.
9.3 Transferencias Internacionales de Datos
Los proveedores de LLM e infraestructura en la nube pueden estar ubicados fuera de Colombia (principalmente en Estados Unidos). Estas transferencias se realizan bajo las siguientes garantías:
- Cláusulas contractuales que prohíben el uso de datos para entrenamiento de modelos.
- Compromisos de seguridad equivalentes o superiores a los estándares de la Ley 1581 de 2012.
- Proveedores con políticas compatibles con estándares internacionales reconocidos (GDPR u otros).
El usuario puede solicitar información detallada sobre estas garantías escribiendo a privacidad@iaforall.tech.
10 Seguridad de la Información
AI FOR ALL implementa medidas técnicas y administrativas de seguridad conforme al CONPES 3854 de 2016, la Ley 1273 de 2009 y los lineamientos de ISO/IEC 27001:
10.1 Medidas Técnicas
- Cifrado en tránsito: TLS 1.3 para todas las comunicaciones entre el usuario y los servidores.
- Cifrado en reposo: AES-256 para datos almacenados en bases de datos y copias de seguridad.
- Control de acceso: Principio de mínimo privilegio; acceso basado en roles con registro de auditoría.
- Autenticación de administradores: Factor múltiple (MFA) para todos los accesos internos a sistemas que contienen datos personales.
- Enmascaramiento: Datos de identificación enmascarados en logs y registros de auditoría.
- Monitoreo continuo: Detección de accesos anómalos y alertas de seguridad automatizadas.
- Gestión de vulnerabilidades: Revisiones periódicas de seguridad del código y la infraestructura.
10.2 Medidas Administrativas
- Políticas internas de seguridad de la información documentadas y revisadas anualmente.
- Acuerdos de confidencialidad con todo el personal y proveedores con acceso a datos.
- Capacitación periódica del equipo en protección de datos y seguridad de la información.
- Procedimiento documentado de respuesta ante incidentes de seguridad.
10.3 Gestión de Incidentes de Seguridad
En caso de una brecha o vulneración de seguridad que comprometa datos personales:
- Contención inmediata del incidente.
- Notificación a la SIC dentro de los términos exigidos por la normativa vigente.
- Notificación a los titulares afectados de forma oportuna, indicando la naturaleza del incidente, los datos comprometidos y las medidas adoptadas.
11 Períodos de Retención de Datos
| Tipo de Dato | Período de Retención | Fundamento |
|---|---|---|
| Datos de cuenta (nombre, correo, teléfono) | Durante la vigencia de la cuenta y hasta la solicitud de supresión por parte del titular | Ley 1581/2012 |
| Historial de conversaciones e identificador de usuario en WhatsApp | Mientras el servicio esté activo para el cliente que opera el agente, o hasta que el titular solicite su supresión | Interés legítimo / ejecución del servicio |
| Registros de auditoría y logs de sesión | Mientras sean necesarios para fines de seguridad, trazabilidad y soporte | Seguridad y trazabilidad |
| Datos para envío de contenidos educativos | Hasta revocación del consentimiento | Consentimiento |
El titular puede solicitar la supresión de sus datos en cualquier momento por los canales descritos en la sección 12, salvo cuando exista una obligación legal de conservación. Una vez atendida la solicitud, los datos son eliminados de forma segura o anonimizados de manera irreversible.
AI FOR ALL revisa periódicamente sus prácticas de retención y podrá incorporar plazos máximos de conservación específicos, los cuales se reflejarán en futuras versiones de esta política.
12 Derechos de los Titulares
Conforme a la Ley 1581 de 2012, los titulares tienen los siguientes derechos:
- Acceso: Conocer qué datos personales trata AI FOR ALL, con qué finalidad y a quiénes han sido transferidos.
- Rectificación: Solicitar la corrección de datos inexactos, incompletos o desactualizados.
- Supresión: Pedir la eliminación de sus datos cuando no exista obligación legal de conservarlos.
- Revocación del consentimiento: Retirar en cualquier momento el consentimiento otorgado para tratamientos opcionales (envío de contenidos, personalización).
- Queja ante la SIC: Presentar reclamaciones ante la Superintendencia de Industria y Comercio si considera que sus derechos han sido vulnerados.
Cómo Ejercer sus Derechos
- Correo electrónico: privacidad@iaforall.tech — asunto:
Ejercicio de derechos — [su nombre] - A través del agente conversacional: indicando "Quiero ejercer mis derechos sobre mis datos personales".
Términos de respuesta:
- Consultas de acceso: máximo 10 días hábiles (Art. 14, Ley 1581/2012).
- Reclamos de rectificación, supresión o revocación: máximo 15 días hábiles (Art. 15, Ley 1581/2012), prorrogables 8 días hábiles adicionales con notificación previa al titular.
13 Protección del Consumidor Joven y Estudiantes Mayores de Edad
13.1 Servicio dirigido a Mayores de Edad
El agente está diseñado exclusivamente para personas mayores de 18 años, en concordancia con la edad mínima legal para la contratación del producto financiero crediticio que el agente apoya informativamente. AI FOR ALL ofrece a este público:
- Contenidos de educación financiera en lenguaje claro, sin tecnicismos innecesarios.
- Orientación específica para personas que usan un producto de crédito por primera vez.
- Información sobre derechos del consumidor financiero y canales de atención y queja disponibles.
13.2 Política frente a Menores de Edad
- El servicio no está dirigido a menores de edad y no se solicita ni se recopila información de personas menores de 18 años de manera intencional.
- Si AI FOR ALL identifica que un titular es menor de edad, suspenderá el tratamiento de sus datos y procederá a la supresión correspondiente, salvo que medie autorización expresa y verificable del representante legal, conforme al artículo 7 de la Ley 1581 de 2012.
- El representante legal podrá, en todo momento, solicitar acceso, rectificación o supresión de los datos de un menor a través de los canales descritos en la sección 12.
13.3 Información Veraz y Comprensible (Ley 1328 de 2009)
AI FOR ALL garantiza que el agente de IA provea información veraz, suficiente, clara y oportuna sobre:
- Conceptos básicos del producto financiero: fechas de corte, pago mínimo, tasa de interés, cupo.
- Riesgos del uso irresponsable del crédito y consecuencias generales sobre el historial crediticio.
- Derechos del consumidor financiero y canales oficiales de atención.
- Conceptos de finanzas personales adaptados al contexto estudiantil (ahorro, presupuesto, deuda).
Cuando una pregunta requiera información precisa y actualizada del producto financiero específico del usuario (saldos, tasas vigentes, cobros), el agente indicará que esa información debe consultarse directamente con la entidad financiera emisora de la tarjeta.
14 Cookies y Tecnologías de Seguimiento
| Tecnología | Propósito | Duración |
|---|---|---|
| Cookies de sesión | Mantener la sesión activa durante la navegación en el portal | Sesión (se eliminan al cerrar el navegador) |
| Access token JWT | Autenticación de solicitudes al API administrativo | 1 hora |
| Refresh token JWT | Renovar el access token sin requerir nuevo inicio de sesión | Hasta 7 días |
| LocalStorage | Almacenar preferencias del usuario y tokens emitidos | Hasta cierre de sesión o expiración del refresh token |
| Cookies analíticas propias | Métricas anonimizadas de uso del servicio | Hasta 12 meses |
AI FOR ALL no utiliza cookies publicitarias, píxeles de seguimiento de terceros ni herramientas de retargeting. Los datos de navegación no se comparten con redes publicitarias.
El usuario puede gestionar las cookies desde la configuración de su navegador. La desactivación de cookies esenciales puede afectar el funcionamiento del servicio.
15 Autorización del Titular
La autorización para el tratamiento de datos personales se obtiene:
- De forma previa al inicio del tratamiento que requiera datos personales.
- Mediante la aceptación del aviso de privacidad presentado en el formulario de registro o al inicio de la primera sesión con el agente.
- Para conversaciones anónimas (preguntas frecuentes sin registro), el uso del servicio implica la aceptación del tratamiento mínimo de datos técnicos de sesión descrito en esta política.
- Los consentimientos opcionales (recibir contenidos por correo, personalización) son independientes y no condicionan el acceso al servicio principal.
Toda autorización queda registrada con fecha, hora e identificador de sesión como evidencia del consentimiento informado.
16 Oficial de Protección de Datos
AI FOR ALL ha designado a Andrés Ricardo Forero Herrera como Oficial de Protección de Datos (OPD), responsable de:
- Velar por el cumplimiento de esta política y la normativa aplicable.
- Atender consultas, reclamos y ejercicio de derechos de los titulares.
- Coordinar la relación con la Superintendencia de Industria y Comercio.
- Gestionar la respuesta ante incidentes de seguridad que involucren datos personales.
Contacto:
Correo: privacidad@iaforall.tech
Asunto: Atención OPD — [descripción breve del asunto]
17 Modificaciones a esta Política
AI FOR ALL se reserva el derecho de actualizar esta política para reflejar cambios normativos, tecnológicos u operacionales:
- Las modificaciones se publicarán en https://iaforall.tech/privacidad con la fecha de actualización.
- Para cambios sustanciales que afecten derechos de los titulares, se notificará con mínimo 15 días de anticipación por correo electrónico o aviso en la plataforma.
- Para cambios que impliquen nuevas finalidades de tratamiento, se requerirá nuevo consentimiento expreso.
- El uso continuado del servicio tras el período de notificación implica aceptación de los términos actualizados.
18 Registro Nacional de Bases de Datos (RNBD)
AI FOR ALL mantiene sus bases de datos inscritas ante el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio, conforme al Decreto 090 de 2018.
19 Regulador y Entidad de Vigilancia
Para reclamaciones no resueltas por AI FOR ALL en los términos legales, el titular puede acudir a:
Superintendencia de Industria y Comercio (SIC)
Sitio web: www.sic.gov.co
Línea de atención: (601) 587-0000
Dirección: Carrera 13 #27-00, Bogotá D.C.
20 Vigencia
Esta Política de Privacidad y Protección de Datos Personales rige a partir del 3 de junio de 2026 y permanecerá vigente hasta su modificación o derogación, manteniendo plenos efectos sobre los tratamientos iniciados durante su período de vigencia.
AI FOR ALL S.A.S. — https://iaforall.tech — privacidad@iaforall.tech
Bogotá D.C., Colombia — 2026