CargaSegura← Volver

Documento legal · versión 1.0

Política de Tratamiento de Datos Personales (Habeas Data)

SH C4RGO SAS (NIT 901956078), operadora del software Carga Segura, en cumplimiento de la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto Único 1074 de 2015 y las Circulares 002 de 2015 y 003 de 2018 de la Superintendencia de Industria y Comercio.

Vigente desde 14 de mayo de 2026 · Responsable: SH C4RGO SAS (NIT 901956078)

1. Identificación del responsable

SH C4RGO SAS, sociedad por acciones simplificada identificada con NIT 901956078, domiciliada en Bogotá D.C., Colombia, propietaria y operadora del software Carga Segura (en adelante, "el Software" o "la Plataforma"), actúa como Responsable del Tratamiento de los datos personales recolectados a través de este sitio web (https://www.cargaseg.com), la API en api.cargaseg.com y los canales de soporte y ventas.

2. Definiciones

Para efectos de esta política se entiende por:

  • Autorización: consentimiento previo, expreso e informado del Titular para el tratamiento de sus datos.
  • Dato personal: cualquier información vinculada o asociable a una o varias personas naturales determinadas o determinables.
  • Dato sensible: aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación (origen racial, religión, datos biométricos, salud, vida sexual, etc.).
  • Responsable del Tratamiento: SH C4RGO SAS.
  • Encargado del Tratamiento: proveedor que realiza el tratamiento por cuenta del Responsable (infraestructura cloud, mensajería, analítica, etc.). Ver sección 8.
  • Titular: persona natural cuyos datos son objeto de tratamiento.
  • Tratamiento: cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, transferencia o supresión.

3. Datos personales que recolectamos

Dependiendo del rol y del módulo de la Plataforma que se utilice, recolectamos los siguientes datos:

3.1 Datos de identificación y contacto (todos los usuarios)

  • Nombres y apellidos completos.
  • Tipo y número de documento de identidad (CC, CE, pasaporte, NIT).
  • Correo electrónico corporativo o personal.
  • Teléfono móvil / WhatsApp.
  • Empresa suscriptora a la que pertenece el usuario.
  • Rol asignado dentro de la Plataforma.

3.2 Datos de la operación de transporte

  • Vehículos: placa, configuración (C2/C3/C4/2S1...), propietario, tenedor, documentos (SOAT, RTM, póliza RC, tarjeta de operación), kilometraje y mantenimientos.
  • Conductores: licencia, vigencia, categorías, historial de viajes, ubicación durante asignaciones activas.
  • Cargas y manifiestos: producto, peso, valor declarado, origen-destino (coordenadas geográficas), ventanas de recogida y entrega, contrapartes comerciales.
  • Datos financieros del propietario o transportadora: ingresos por flete, gastos operativos, retenciones, conciliación bancaria (en módulo Profesional+).

3.3 Datos para cumplimiento normativo (KYC / SARLAFT / SAGRILAFT / PTEE)

  • Origen de los recursos.
  • Actividad económica (CIIU).
  • Ingresos mensuales declarados.
  • Condición de PEP (Persona Expuesta Políticamente).
  • Resultado de la consulta a listas restrictivas (OFAC, ONU 1267, Clinton List).
  • Firma electrónica del titular sobre la declaración Habeas Data, con hash criptográfico, IP y marca temporal.

3.4 Datos técnicos de uso del Software

  • Dirección IP y user-agent en cada petición.
  • Logs de acceso y bitácora encadenada por hash.
  • Métricas de uso (sin perfilamiento comercial cruzado).

4. Finalidades del tratamiento

SH C4RGO SAS tratará los datos personales únicamente para:

  1. Prestar el servicio del Software a la empresa cliente (transportadora, generador, propietario o consultor), incluyendo despacho, emisión de manifiestos, integración con el RNDC del Ministerio de Transporte y contabilidad por vehículo.
  2. Cumplir obligaciones legales en materia de transporte de carga (Decreto 1079/2015, Resolución 4170/2018, RNDC), tributarias (DIAN), y de prevención de LA/FT/FPADM (SARLAFT, SAGRILAFT, PTEE) según el sector de la empresa suscriptora.
  3. Generar y conservar evidencia probatoria: firma electrónica de KYC, bitácora encadenada de auditoría inmutable y manifiestos firmados con PKCS#7.
  4. Gestionar el ciclo de venta y soporte: responder solicitudes de demo, atender PQR, enviar comunicaciones transaccionales (cambios de contraseña, alertas de vencimiento documental).
  5. Realizar comunicaciones comerciales sobre nuevos módulos, mejoras y eventos del sector, únicamente con autorización expresa adicional del Titular y con opción de desuscripción en cada comunicación.
  6. Mejorar la calidad del Software mediante el análisis agregado y anonimizado de métricas de uso. No realizamos perfilamiento individual con fines comerciales.
  7. Defender derechos en sede administrativa o judicial cuando aplique.

5. Datos sensibles y datos de menores

5.1 Datos sensibles

El Software no recolecta datos sensibles en condiciones normales (origen racial, religión, opinión política, vida sexual, biometría facial). En caso de requerirse, por ejemplo, para autenticación biométrica de conductores, se solicitará autorización previa, expresa, escrita e informada del Titular, advirtiendo el carácter facultativo de la respuesta sobre datos sensibles según el artículo 6 de la Ley 1581 de 2012.

5.2 Datos de menores de edad

El Software no está dirigido a menores de edad y no recolecta datos personales de menores. Si tienes conocimiento de que un menor ha facilitado datos al Software, notifícalo a protecciondatos@cargaseg.com para su supresión inmediata.

6. Derechos del titular

Conforme al artículo 8 de la Ley 1581 de 2012, todo Titular podrá ejercer ante SH C4RGO SAS los siguientes derechos:

  • Conocer, actualizar y rectificar sus datos personales.
  • Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito.
  • Ser informado sobre el uso que se ha dado a sus datos personales, previa solicitud.
  • Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la normativa.
  • Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
  • Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
  • Oponerse al tratamiento con fines de mercadeo cuando no exista un interés legítimo prevalente.
La revocatoria y/o supresión no procederá cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos — por ejemplo, durante el plazo de conservación tributario o regulatorio (ver sección 10).

7. Cómo ejercer tus derechos (canal de PQR)

Las solicitudes para el ejercicio de los derechos podrán presentarse por el Titular o sus causahabientes a través del siguiente canal único:

Información mínima de la solicitud

  1. Nombre completo del Titular y número de documento.
  2. Datos de contacto para respuesta (correo y teléfono).
  3. Descripción clara del hecho que motiva la solicitud y el derecho que se busca ejercer (consulta, rectificación, supresión, revocatoria, etc.).
  4. Documentos que soporten la solicitud, si los hay.
  5. Firma del Titular y prueba de identidad (foto del documento).

Plazos de respuesta

  • Consultas: 10 días hábiles desde la recepción, prorrogables por 5 días hábiles más previa notificación.
  • Reclamos: 15 días hábiles desde el día siguiente a su recepción, prorrogables por 8 días hábiles más.

8. Encargados del tratamiento (subprocesadores)

Para prestar el servicio, SH C4RGO SAS contrata subprocesadores en los términos del artículo 25 del Decreto 1377/2013. La lista vigente a la fecha es:

EncargadoFinalidadPaís de tratamiento
Railway Corp.Infraestructura cloud (API FastAPI, Postgres+PostGIS, Redis).Estados Unidos
Vercel Inc.Hosting de sitio público (cargaseg.com) y CDN.Estados Unidos
Anthropic PBCAsistencia LLM para diagnóstico interno de errores. No se envían datos personales identificables al modelo.Estados Unidos
Sentry.ioMonitoreo de errores y trazas de la aplicación.Estados Unidos / UE
Amazon Web Services (S3 / SES, según despliegue)Almacenamiento de recibos OCR y envío transaccional.Estados Unidos

La lista actualizada está disponible bajo solicitud a protecciondatos@cargaseg.com.

9. Transferencias y transmisiones internacionales

Algunos de los Encargados listados están domiciliados fuera de Colombia. En esos casos, SH C4RGO SAS se acoge a uno o más de los siguientes mecanismos previstos en la Circular Externa 003 de 2018 de la SIC:

  1. Autorización expresa del Titular al aceptar esta política durante el registro.
  2. Contratos de transmisión internacional con cláusulas de protección equivalentes al estándar colombiano.
  3. Declaración de país con nivel adecuado de protección emitida por la SIC, cuando aplique.

Si tienes preguntas específicas sobre dónde y cómo se almacenan tus datos, escribe a protecciondatos@cargaseg.com.

10. Conservación de la información

Los datos personales se conservan por los plazos exigidos por:

  • Información tributaria y contable: 10 años (artículo 28 Ley 962/2005 y Decreto 2649/1993).
  • Manifiestos electrónicos de carga y soportes RNDC: mínimo 5 años después de finalizado el contrato (Resolución 4170/2018 del MinTransporte y normas concordantes).
  • KYC y documentación SARLAFT/SAGRILAFT: mínimo 5 años contados desde la terminación del vínculo, conforme a las instrucciones de la SuperTransporte y la SuperSociedades.
  • Datos de marketing: hasta la revocatoria del consentimiento por parte del Titular.
  • Logs técnicos: 12 meses, después se anonimizan o suprimen.

Una vez cumplido el plazo, los datos se suprimen o se anonimizan de forma irreversible.

11. Medidas de seguridad

SH C4RGO SAS aplica medidas técnicas y organizativas para proteger los datos:

  • Cifrado en tránsito con TLS 1.2+ (certificados Let's Encrypt) en cargaseg.com y api.cargaseg.com.
  • Cifrado en reposo en Postgres administrado y buckets S3 (AES-256).
  • Row-Level Security (RLS) en Postgres para aislamiento estricto entre empresas suscriptoras (cada una solo accede a sus propias filas).
  • Hashing de contraseñas con bcrypt y salting.
  • Autenticación basada en JWT con rotación de tokens de refresco.
  • Bitácora encadenada por hash (Circular Externa 007 SFC + buenas prácticas SuperTransporte/SuperSociedades).
  • Enmascarado de PII en logs (cédulas, cuentas bancarias, números de placa) automáticamente.
  • Doble factor en cuentas administrativas y de cumplimiento (en roadmap; obligatorio antes de exposición pública).

12. Cookies y trazadores

El sitio público https://www.cargaseg.com es estático y, por defecto, no instala cookies de tracking ni pixels publicitarios. Las únicas cookies que pueden instalarse son las técnicas estrictamente necesarias para mantener tu sesión cuando inicies sesión en la app (api.cargaseg.com), que no requieren consentimiento conforme a la Circular Externa 002 de 2015 de la SIC y la doctrina europea de "cookies estrictamente necesarias".

Si en el futuro se incorporan analíticas o píxeles de terceros, esta política se actualizará y se solicitará el consentimiento previo del usuario mediante un banner explícito.

13. Tratamiento específico de datos del RNDC

Como parte del servicio, la Plataforma reporta y consulta información al Registro Nacional de Despachos de Carga (RNDC) del Ministerio de Transporte, en cumplimiento de la Resolución 4170 de 2018 y normas concordantes. El Titular acepta y autoriza esta comunicación como condición técnica indispensable del servicio de transporte.

Adicionalmente, en el módulo "Conciliación banco ↔ RNDC", el Titular (propietario o transportadora) puede conectar sus cuentas bancarias en modo solo lectura mediante OAuth. SH C4RGO SAS accede únicamente a los extractos necesarios para validar el pago contra los manifiestos reportados y no realiza retiros, pagos ni transferencias. El usuario puede revocar el acceso en cualquier momento desde su entidad bancaria.

14. Modificaciones de la política

SH C4RGO SAS podrá modificar esta política en cualquier momento. Toda modificación sustancial será comunicada por correo electrónico a los usuarios activos con al menos diez (10) días hábiles de anticipación a su entrada en vigor, y publicada en cargaseg.com/legal/habeas-data.

15. Autoridad de control y vigencia

La autoridad nacional de protección de datos personales en Colombia es la Superintendencia de Industria y Comercio (SIC), ante la cual el Titular puede presentar quejas y reclamos cuando considere que SH C4RGO SAS no ha atendido adecuadamente sus solicitudes (www.sic.gov.co).

La presente política entra en vigencia desde su publicación y permanece vigente hasta que sea modificada o sustituida.